La red de bots Emotet vuelve a la vida
Una de las redes de bots más grandes fue interrumpida y cerrada en una operación policial internacional que tuvo lugar a principios de 2021. Ahora, más de un año después, la misma red de bots está dando señales de vida una vez más, y parece que ha crecido un poco. nuevos cuernos y espinas en el tiempo que permaneció inactivo. La botnet en cuestión es la infame red de bots Emotet, una red de dispositivos comprometidos que se utilizan para diferentes fines maliciosos.
¿Qué es Emote?
La parte que controla los dispositivos comprometidos o "bots" podría utilizar una botnet para una serie de tareas maliciosas. En el caso de Emotet, la red se usó para propagar malware y los bots se alquilaron a otras partes malintencionadas, de forma similar al modelo de ransomware como servicio, que solo vendía el acceso a la infraestructura del dispositivo comprometido.
Ahora, un equipo de investigación de la firma de seguridad Proofpoint ha identificado una "actividad de Emotet de bajo volumen", describiéndola como "drásticamente" diferente de la forma habitual en que se operaba la red de bots de Emotet.
Emotet ahora se distribuye mediante campañas de correo electrónico. Las direcciones de correo electrónico de las que se originan los mensajes maliciosos parecen estar comprometidas, según los investigadores, porque el módulo de spam de Emotet no se usó para enviarlos a los destinatarios.
Nueva campaña de correo electrónico malicioso difunde Emotet
Los correos electrónicos tenían una estructura simple: cadenas de asunto de una palabra, como "Salario". Este es un truco simple pero efectivo para llamar la atención de la víctima y hacer que el usuario haga clic en lo que esté contenido en el correo electrónico. En este caso, los correos electrónicos contienen solo un enlace a OneDrive.
Los enlaces de OneDrive apuntan a archivos MS Excel XLL, colocados en un archivo zip. Los archivos de archivo y el documento de Excel que contienen se nombran de manera similar al asunto del correo. En el ejemplo proporcionado por Proofpoint, el archivo se llamaba "Salario_nuevo.zip" y el archivo de Excel dentro de él, "Salario_y_bonificaciones-04.01.2022.xll".
Una vez que el usuario extrae el archivo de Excel e intenta abrirlo, Emotet se suelta y se implementa.
Dada la naturaleza de bajo volumen de la campaña, en contraste con el enfoque habitual de spam agresivo de gran volumen utilizado por Emotet anteriormente, los investigadores creen que los operadores de malware están probando nuevos enfoques y técnicas y están probando nuevas formas de evitar la detección automática.