En concreto, Emotet ha aparecido en cadenas de correo electrónico que añaden archivos .zip, que contienen documentos adjuntos como informes de finanzas y facturas y que no cuentan con la protección de contraseñas o credenciales para su acceso.
Este software malicioso, que se ejecuta en segundo plano, queda a la espera de comandos por parte del servidor, que puede seguir instalando otras cargas útiles en el dispositivo infectado.
Tácticas similares pero con algunos cambios
Desde hace tiempo, las campañas de Emotet se caracterizan por utilizar correos electrónicos con asuntos relacionados con facturas o presupuestos y que adjuntan ficheros ofimáticos de Microsoft Office modificados. Este tipo de campañas van especialmente dirigidas a los departamentos de administración y comercial de las empresas, acostumbrados a recibir correos similares todos los días y que pueden ser mas propensos a abrir y ejecutar los ficheros maliciosos.
En esta nueva campaña se ha detectado como los delincuentes siguen usando esta técnica, adjuntando ficheros comprimidos en formato ZIP y que se hacen pasar por supuestas facturas.
Sin embargo, para esta nueva campaña los delincuentes han usado una técnica utilizada por otros malware como el troyano bancario Grandoreiro que consiste en inflar el tamaño del archivo una vez descomprimido para así tratar de evitar la detección estática por parte de los antivirus cuando el documento se guarda en el disco. En un testeo del ataque vemos como de un fichero de unos pocos Kilobytes se pasa a más de 550 Megabytes cuando se procede a descomprimirlo.
El fichero resultante es un documento de MS Word que no pocos usuarios se van a ver tentados de abrir para comprobar si realmente hay una factura en su interior. No obstante, lo que se van a encontrar en su interior es un aviso indicando que el documento se encuentra protegido y que es necesario habilitar la opción habilitar el contenido para poder mostrarlo.
Lo que si que no cambia es la forma de atacar de un troyano, una vez esta dentro del sistema el daño puede ser irreparable