Vuelve Emotet, el troyano bancario más avanzado y autopropagable

Emotet se consideró unos de los tres malwares más peligrosos, pues tras unos meses que cesara prácticamente por completo su actividad a finales de noviembre de 2022, era cuestión de tiempo que volviera. El momento ha llegado con la detección de varias campañas de spam con adjuntos maliciosos en forma de documentos ofimáticos que vuelve a buscar nuevas víctimas, especialmente entre los empleados de empresas de todos los tamaños. Emotet, una de las principales amenazas para las empresas españolas y de todo el mundo según compañías como Check Point, ha registrado actividad con el envío de correos electrónicos maliciosos tras tres meses en pausa. Descubierto en 2014, este troyano bancario ha permitido el acceso a los sistemas informáticos a cibercriminales de alto nivel, que han realizado actividades ilícitas, como el robo de datos o la extorsión a través de ransomware. Se trata de un malware distribuido a través de correos electrónicos con documentos de servicios como Microsoft Word y Excel, entre otros. Una vez abiertos, instala la carga maliciosa en los dispositivos infectados y espera las órdenes de un servidor, que lo controla en remoto. A pesar de que Emotet aminoró su actividad gradualmente tras una operación de envío de spam en noviembre de 2022, la empresa de ciberseguridad Cofense ha advertido una nueva campaña de este troyano.

En concreto, Emotet ha aparecido en cadenas de correo electrónico que añaden archivos .zip, que contienen documentos adjuntos como informes de finanzas y facturas y que no cuentan con la protección de contraseñas o credenciales para su acceso.

No obstante, estos documentos maliciosos integran una notificación de Office 365 que señala que están protegidos y, una vez abiertos, solicitan a los usuarios ‘Habilitar el contenido’, lo que descarga automáticamente el troyano.

Este software malicioso, que se ejecuta en segundo plano, queda a la espera de comandos por parte del servidor, que puede seguir instalando otras cargas útiles en el dispositivo infectado.

Tácticas similares pero con algunos cambios

Desde hace tiempo, las campañas de Emotet se caracterizan por utilizar correos electrónicos con asuntos relacionados con facturas o presupuestos y que adjuntan ficheros ofimáticos de Microsoft Office modificados. Este tipo de campañas van especialmente dirigidas a los departamentos de administración y comercial de las empresas, acostumbrados a recibir correos similares todos los días y que pueden ser mas propensos a abrir y ejecutar los ficheros maliciosos.

En esta nueva campaña se ha detectado como los delincuentes siguen usando esta técnica, adjuntando ficheros comprimidos en formato ZIP y que se hacen pasar por supuestas facturas.

Sin embargo, para esta nueva campaña los delincuentes han usado una técnica utilizada por otros malware como el troyano bancario Grandoreiro que consiste en inflar el tamaño del archivo una vez descomprimido para así tratar de evitar la detección estática por parte de los antivirus cuando el documento se guarda en el disco. En un testeo del ataque vemos como de un fichero de unos pocos Kilobytes se pasa a más de 550 Megabytes cuando se procede a descomprimirlo.

El fichero resultante es un documento de MS Word que no pocos usuarios se van a ver tentados de abrir para comprobar si realmente hay una factura en su interior. No obstante, lo que se van a encontrar en su interior es un aviso indicando que el documento se encuentra protegido y que es necesario habilitar la opción habilitar el contenido para poder mostrarlo.

Lo que si que no cambia es la forma de atacar de un troyano, una vez esta dentro del sistema el daño puede ser irreparable 😓

Comparte este contenido:

Deja un comentario

Calendario Ciberseguridad /24

LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Alertas de seguridad

Recibe las más importantes a tu email