Ampliamente considerada como una de las principales amenazas de Internet , la red de bots Emotet ha regresado después de un paréntesis de meses y tiene algunos trucos nuevos.
La semana pasada, Emotet apareció por primera vez este año después de una pausa de cuatro meses. Regresó con su actividad de marca registrada: una ola de mensajes de spam maliciosos que parecen provenir de un contacto conocido, se dirigen al destinatario por su nombre y parecen estar respondiendo a un hilo de correo electrónico existente. Cuando Emotet regresó de descansos anteriores, trajo nuevas técnicas diseñadas para evadir los productos de seguridad de punto final y engañar a los usuarios para que hagan clic en enlaces o habiliten macros peligrosas en documentos adjuntos de Microsoft Office. La reanudación de la actividad de la semana pasada no fue diferente.
Un correo electrónico malicioso enviado el martes pasado, por ejemplo, adjuntó un documento de Word que tenía una gran cantidad de datos extraños agregados al final. Como resultado, el archivo tenía un tamaño de más de 500 MB, lo suficientemente grande como para evitar que algunos productos de seguridad pudieran escanear el contenido. Esta técnica, conocida como relleno binario o bombeo de archivos, funciona agregando ceros al final del documento. investigadores de la firma de seguridad Trend Micro En el caso de que alguien sea engañado para habilitar la macro, el archivo DLL de Windows malicioso que se entrega también se bombea, lo que hace que aumente rápidamente de 616 kB a 548,1 MB, dijeron el lunes .
Otro truco de evasión detectado en el documento adjunto: extractos de la novela clásica de Herman Melville Moby Dick , que aparecen en una fuente blanca sobre una página blanca para que el texto no sea legible. Algunos productos de seguridad marcan automáticamente los archivos de Microsoft Office que contienen solo una macro y una imagen. El texto invisible está diseñado para evadir dicho software sin despertar la sospecha del objetivo.
Cuando se abren, los documentos de Word presentan un gráfico que dice que no se puede acceder al contenido a menos que el usuario haga clic en el botón “habilitar contenido”. El año pasado, Microsoft comenzó a deshabilitar las macros descargadas de Internet de forma predeterminada.
Anuncio
El gráfico que aparece inmediatamente después de abrir un documento de Word malicioso. Dice que no se puede acceder al contenido a menos que se haga clic en el botón “habilitar contenido”.
Al hacer clic en el botón “habilitar contenido”, se deshace ese valor predeterminado y permite que se ejecute la macro. La macro hace que Office descargue un archivo .zip de un sitio web legítimo que ha sido pirateado. Luego, Office descomprimirá el archivo comprimido y ejecutará la DLL de Emotet inflada que infecta el dispositivo.
Una vez que ha infectado el dispositivo de la víctima, el malware sustrae contraseñas y otros datos confidenciales y usa el dispositivo para enviar spam malicioso a otros usuarios. El malware también puede descargar malware adicional, como el ransomware Ryuk o el malware TrickBot. La cadena de infección se ve así:
La atención al detalle que se ve en este último renacimiento es el comportamiento característico de Emotet. Durante años, la botnet ha copiado minuciosamente las conversaciones de correo electrónico recibidas de las máquinas infectadas y las ha integrado en el correo no deseado malicioso enviado a otras partes en el hilo. Al hacer un seguimiento de un correo electrónico de alguien con quien el objetivo se ha comunicado en el pasado, el mensaje de spam malicioso tiene más posibilidades de pasar desapercibido. Emotet también puede obtener acceso a redes Wi-Fi e infectar dispositivos conectados.
Con el regreso de Emotet, las personas deben estar atentas a los correos electrónicos maliciosos, incluso si parecen provenir de fuentes confiables, llamar al objetivo por su nombre e incluir correos electrónicos enviados y recibidos anteriormente. Rara vez hay una buena razón para habilitar macros en documentos enviados por correo electrónico. Las personas deben negarse a permitir que se ejecuten sin comunicarse primero con el remitente por teléfono, mensaje instantáneo u otro medio que no sea el correo electrónico.
Los países más afectados en la última ejecución de Emotet son Europa, Asia Pacífico y América Latina.