En concret, Emotet ha aparegut en cadenes de correu electrònic que afegeixen fitxers .zip, que contenen documents adjunts com a informes de finances i factures i que no compten amb la protecció de contrasenyes o credencials per accedir-hi.
Aquest programari maliciós, que s'executa en segon pla, queda en espera d'ordres per part del servidor, que pot seguir instal·lant altres càrregues útils al dispositiu infectat.
Tàctiques similars però amb alguns canvis
Des de fa temps, les campanyes d'Emotet es caracteritzen per fer servir correus electrònics amb assumptes relacionats amb factures o pressupostos i que adjunten fitxers ofimàtics de Microsoft Office modificats. Aquest tipus de campanyes van especialment adreçades als departaments d'administració i comercial de les empreses, acostumats a rebre correus similars cada dia i que poden ser més propensos a obrir i executar els fitxers maliciosos.
En aquesta nova campanya s'ha detectat com els delinqüents segueixen usant aquesta tècnica, adjuntant fitxers comprimits en format ZIP i que es fan passar per suposades factures.
No obstant això, per a aquesta nova campanya els delinqüents han fet servir una tècnica utilitzada per altres malware com el troià bancari Grandoreiro que consisteix a inflar la mida del fitxer una vegada descomprimit per així intentar evitar la detecció estàtica per part dels antivirus quan el document es desa al disc. En un testeig de l'atac veiem com un fitxer d'uns quants Kilobytes es passa a més de 550 Megabytes quan es procedeix a descomprimir-ho.
El fitxer resultant és un document de MS Word que no pocs usuaris es veuran temptats dobrir per comprovar si realment hi ha una factura al seu interior. No obstant això, el que trobareu al vostre interior és un avís indicant que el document està protegit i que cal habilitar l'opció habilitar el contingut per poder-lo mostrar.
El que sí que no canvia és la manera d'atacar d'un troià, un cop dins del sistema el dany pot ser irreparable