El regresjo de Emotet, malware disfrazado de correos lícitos afecta a españoles

Todo parece indicar que el troyano bancario Emotet ha regresado. El malware, que se hace pasar por contactos de la libreta de direcciones de la víctima, está afectando a usuarios de todo el mundo pero ha tenido especial incidencia en España.

Emotet no es precisamente un desconocido en el mundo de las amenazas informáticas, pues ha estado activo desde 2014 y se ha convertido en uno de los códigos maliciosos más destacados en su campo: el robo de credenciales bancarias.

“Su método de propagación preferido es el correo malicioso o malspam con ficheros o enlaces adjuntos que tratan de convencer a los usuarios para que pulsen sobre ellos o los abran”.

Emotet, para conseguir sus objetivos, utiliza asuntos muy escuetos pero directos, tales como “Propuesta”, “Respuesta”, “Privacidad” o “Nueva Plantilla”, acompañados de cuerpos de mensaje breves que no poseen información adicional añadida.

El peligro, radica en el fichero adjunto en formato Word. Hay que tomar en cuenta que, si el usuario lo abre, inmediatamente se iniciará la cadena de ejecución del malware que terminará instalando Emotet en el sistema y comprometiendo su seguridad cibernética.

El principal objetivo de Emotet, es obtener las credenciales bancarias de la víctima, aunque a lo largo de los años ha ido evolucionando para incluir nuevos módulos que lo han convertido en un malware complejo y polimórfico, es decir, que tiene o puede tener varias formas.

Ataque de Emotet contra todos

El malware Emotet, con respecto a sus víctimas, no hace distinción y se dirige tanto a usuarios particulares como pymes (pequeñas y medianas empresas), corporaciones y entidades gubernamentales.

“Su objetivo es recopilar la mayor cantidad posible de credenciales financieras para así conseguir sustraer elevadas cantidades de dinero desde las cuentas de sus víctimas, independientemente de su procedencia”.

Este regreso de Emotet ha sido bastante potente y que se ha registrado una elevada cantidad de emails con enlaces y adjuntos maliciosos pertenecientes a esta campaña. En el caso de España, repunte importante desde septiembre del año pasado y, más concretamente, durante los últimos días de ese mes.

Hay que destacar que Emotet se caracteriza por utilizar la libreta de direcciones de correo del equipo de la víctima para reenviarse a todos sus contactos, una vez que ha conseguido infectar un sistema, para así tratar de conseguir nuevas y potenciales víctimas.

Los expertos en ciberseguridad también han explicado que la actual campaña de este malware está teniendo un alcance global, pero con especial relevancia en el territorio español.

España es el país donde más incidencia se está detectando”.

Parte del peligro de Emotet, de acuerdo a un comunicado de prensa, reside en su capacidad de penetración. Se ha informado que durante el año pasado identificaron, en promedio, 40 mil bots exclusivos de Emotet por día.

Otro de los hallazgos claves es que la estructura de comando de Emotet ha evolucionado para utilizar terminales infectadas (bots) como otra capa de jerarquía. Estas Bot C2s, según lo planteado, han representado el 80% de los C2s en 2019.

Más de 17 mil direcciones IP exclusivas de bots, relacionadas con los C2 de Emotet, han sido asociadas con C2 de Trickbot. Usando análisis de red, puede observar a medida que las botnets de Emotet cambian a nuevos C2, a veces (incluso) antes de que sean distribuidas.