Nueva ciberamenaza: troyano Emotet en archivos adjuntos. ¡Pásalo!

Sin embargo, desde entonces se ha convertido en una operación de malware como servicio (MaaS), que puede proporcionar servicios de distribución de malware a otros ciberdelincuentes, facilitando así la acción de distribución y explotación de este troyano.

El regreso de la amenaza Emotet

El 18 de agosto de 2020, se cambió el cargador de Emotet. Esto es, otra variación del compresor comprime el cargador Emotet. Varios investigadores han observado que este cambio de compresor ha provocado una disminución en la tasa de detección del cargador Emotet por parte del software antivirus. Dos días después de que se reemplazó el compresor, el 19 de agosto de 2020, las estadísticas de descarga de Emotet mostraron que la velocidad de descarga promedio del cargador Emotet era de 25,000 veces por hora, un aumento del 1000%.

Los ciberdelincuentes que están detrás del troyano bancario Emotet utilizan varios trucos para eludir los filtros antivirus y propagar el malware a más sistemas. Estos trucos incluyen: desde el secuestro de subprocesos de correo electrónico hasta cambios en los patrones del cargador Emotet, lo que ha provocado un gran aumento en las descargas de malware. Ahora, Emotet envía una vez más archivos adjuntos cifrados a través de su spam malicioso (malware + spam) para expandir aún más su alcance.

La técnica utilizada

Desde septiembre, el Security Lab de Hornetsecurity ha descubierto un gran aumento en el malware Emotet, enviando archivos cifrados nuevamente.

La contraseña para descifrar el archivo se incluye en la carta de presentación del correo electrónico en texto sin formato, lo que hace muy tentador para el usuario abrir el adjunto utilizando la contraseña incluida.

Al cifrar los archivos adjuntos, los programas antivirus convencionales no pueden detectar ni bloquear el malware oculto. Sin embargo, la víctima puede descifrar, abrir y ejecutar el archivo y, finalmente, volver a cargar el malware.

La actual ola de malware Emotet con archivos cifrados ha estado activa desde al menos el 1 de septiembre y fue dirigida por primera vez al mundo de habla japonesa. Finalmente, el Security Lab de Hornetsecurity registró olas de spam en español, inglés y alemán a partir del 14 de septiembre.

Cómo protegerse de Emotet

Los archivos cifrados de Emotet, aún no son detectados por los programas antivirus convencionales. La técnica de secuestrar conversaciones de correo electrónico también contribuye al “éxito” de los ciberdelincuentes, porque debido a que los correos electrónicos maliciosos se envían desde cuentas legítimas pero comprometidas, los destinatarios difícilmente pueden detectar tales ataques cibernéticos.

Es imperativo que los usuarios finales extremen las precauciones al recibir algún correo electrónico de estas características.

Los filtros más avanzados y los mecanismos de seguridad inteligentes pueden detectar dos técnicas de ataque a la red y mantenerlas alejadas del buzón del destinatario. Las acciones de los ciberdelincuentes detrás de Emotet muestran claramente que es hora de que la empresa dé el siguiente paso para abordar los problemas de ciberseguridad. Después de todo, los ciberataques exitosos y la facilidad por hacerse con servicios malware, continúan impulsando las ambiciones de los piratas informáticos y atraen a más ciberdelincuentes.