Troyano Bancario EMOTET 👿

Alerta Troyano EMOTET regresa

EMOTET: ¡un troyano que no querrás conocer!

Los hackers vuelven de nuevo al ataque con EMOTET pero ahora, su radio de alcance es mucho más grande: están atacando varias localizaciones a nivel mundial sin escatimar en esfuerzos. La intensidad de los correos recibidos a usuarios españoles, es un claro ejemplo.

Los remitentes, aparentemente de confianza, nos envían un correo con un Word adjunto.

Pero vamos a explicar en detalle en qué consiste y como detectarlo.

¿Quién es EMOTET?

Aunque suene a dios  o a rey egipcio, no es el caso: quizás un diablillo.

El troyano bancario EMOTET fue diseñado en un principio como malware para bancos, para colarse en un ordenador y robar información confidencial.

Las versiones posteriores de dicho troyano, se añadió servicio de spam y a otros conocidos troyanos bancarios.

EMOTET puede eludir al software de detección: utiliza un sistema gusano para poder infectar a otros ordenadores conectados con lo que ayuda a repartir el malware.

El principal objetivo de éste troyano son las credenciales bancarias

La vía de propagación de éste virus es principalmente por correos electrónicos (spam), los cuáles contiene adjuntos maliciosos y al ser un troyano polimórfico, puede cambiar y adaptarse, mejorándose para evitar la detección basada en firmas.

Lo que le hace peligroso en potencia es que utiliza imágenes de marca, lo que confiere credibilidad y un «enganche», para que el troyano actúe una vez descargado el documento adjuntado en el correo.

Una vez dentro, al utilizar servidores C&C para recibir actualizaciones, lo que permite a los hackers, actualizar su versión del troyano, instalar otros troyanos o actuar como un almacén de datos robados, como contraseñas e información sensible como los datos bancarios.

Reactivando al troyano

En Septiembre se detectaron actualizaciones de EMOTET pero de una manera más invasiva, registrando una cantidad inusual en emails con enlaces y adjuntos malware y en España con mayor intensidad que en otras ocasiones. Como utiliza la libreta de direcciones de correo del equipo infectado, lo reenvia y se propaga.

Ésta nueva campaña podemos identificarte varios puntos característicos:

  • Dos remitentes: El primero suplanta al malware y nos hace creer que es de confianza.
  • En el Campo DE: del correo, aparece el dominio que está comprometido y que se usa para hacer el envío masivo de éste troyano. Aquí es importante ya que podríamos identificar el primer error de éstos correos por éste return path y poder eliminarlo definitivamente.
  • Archivo adjunto: El archivo Word que viene suele tener algunas terminologías como: ARCHIVOFile_H3981.doc – MENSAJE_092019.doc – 985832-2019-7-84938.doc – 61.doc.
Ejemplo de correo EMOTET
Ejemplo de correo EMOTET

Ataque

Si a pesar de las advertencias, abres éste tipo de correo y abres el fichero adjunto, activarás el troyano.

A primera vista, el archivo parecerá inofensivo, con aviso de vista protegida para obligarte a efectuar el botón de «Habilitar edición». De ésta manera desactivarás de forma voluntaria las medidas de seguridad de Microsoft Office, para ejecutar el código mediante macros, ya que el archivo es una imagen maliciosa, creada para que tú actives todo el proceso de infección.

Word para activar las macros
Word para activar las macros

Al ser macros que ejecutará código en PowerShell, activando la segunda fase del ataque: contactar con dominios comprometidos para descargar malware y una vez descargado, es lo que se conoce como la tercera fase del ataque y que actúa como dropper del troyano.

Macro EMOTET
Macro EMOTET

Consejo Asnet

En Asnet os queremos recordar la importancia de tener una solución de seguridad adecuada, pero también es muy importante la actitud del usuario frente a éste tipo de amenazas: debemos de ser capaces de detectar, eliminar y ayudar a su propagación. Tenemos que ser cuidadosos a la hora de clickar en enlaces de los que no confiamos o que sospechemos.

Ante la duda: eliminamos el correo 🙂

 

(17 Posts)

Leave a Reply