Después de un breve descanso, la red de bots Emotet vuelve a la carga con nuevos métodos para infectar sistemas Windows con malware.
Emotet se ha convertido en una de las amenazas de ciberseguridad más peligrosas y duraderas en el tiempo. Su capacidad para distribuir malware y ransomware por todo el mundo ha ocasionado pérdidas de millones de dólares.
Aunque hizo su aparición en 2014 como troyano bancario interceptando datos de acceso a bancos, en su evolución ha incorporado otras muchas funcionalidades maliciosas.
Sus ataques se producen, principalmente, infiltrándose en los sistemas a través de correos electrónicos y afectando a usuarios y empresas públicas y privadas, e infraestructuras críticas.
Uno de sus rasgos más característicos es su capacidad para adaptarse y automatizar los métodos de ataque con amenazas persistentes avanzadas, consiguiendo también propagarse con gran rapidez. Además, Emotet no es fácil de identificar ni de interceptar.
Se trata de una amenaza que ha ayudado a grupos de ciberdelincuentes a distribuir malware y ransomware por todo el mundo antes de ser desmantelado por autoridades policiales y judiciales a nivel global en enero de 2021.
Sin embargo, “el malware más peligroso del mundo”, según estas autoridades, ha resurgido diez meses después reanudando sus campañas de ciberataques. Los expertos han detectado que está enviando millones de correos electrónicos de phishing en campañas masivas de spam.
El objetivo no es otro que el de infectar dispositivos con malware que los conecta a una botnet controlada por ciberdelincuentes. Según los investigadores de ciberseguridad de Proofpoint, Emotet parece estar probando nuevas técnicas de ataque a pequeña escala, que podrían adoptarse potencialmente para campañas mucho más grandes.
Estas técnicas están diseñadas para hacer que los ataques sean más difíciles de detectar y, en última instancia, aumentan las posibilidades de tener éxito.
Nuevas formas de ataque
El surgimiento de nuevas técnicas de ataque ha coincidido con este período en el que las campañas generalizadas de Emotet estaban en suspenso, de ahí que todo se esté realizando a bajo volumen.
Anteriormente, estas campañas involucraban campañas de spam masivas automatizadas, pero en este caso, parece que un usuario humano es el que envía correos electrónicos con phishing en cantidades más pequeñas.
Una de estas nuevas campañas descubiertas explota las cuentas de correo electrónico comprometidas para enviar correos electrónicos de spam-phishing en las que el asunto solo contiene una palabra. Pero se trata de una palabra que hace de gancho para el usuario, por ejemplo, utilizando la palabra ‘salario’, alentando a pinchar y abrir el email por curiosidad.
Después, en el cuerpo del mensaje tan solo aparece una URL de OneDrive, que aloja un ‘zip’ que contienen archivos de complemento de Microsoft Excel (XLL) con un nombre similar al del asunto del correo electrónico.
Si los archivos XLL se abren y ejecutan, Emotet se sitúa en la máquina y la infecta con malware. Una vez infectada, se puede usar para robar información de las víctimas y sirve como puerta trasera para implementar otro malware en el sistema Windows comprometido, algo que normalmente se ha utilizado para implementar ataques de ransomware.
Lo que diferencia a esta campaña de las campañas anteriores de Emotet es el uso de URL de OneDrive ya que, por lo general, intenta propagarse utilizando archivos adjuntos de Microsoft Office o URL de phishing que se vinculan a archivos de Office.
El uso de archivos XLL también es inusual, ya que esta amenaza se ha distribuido tradicionalmente utilizando documentos de Microsoft Excel o Word que contienen secuencias de comandos o macros de Visual Basic para aplicaciones (VBA).
Sin embargo, este cambio se produce después de que Microsoft anunciara que comenzaría a bloquear las macros obtenidas de Internet de forma predeterminada a partir de abril. Un movimiento que forma parte del esfuerzo para ayudar a proteger a los usuarios de una técnica utilizada en los ataques de phishing.
Ante este cambio en las macros, los investigadores consideran muy probable que los ciberdelincuentes estén probando nuevas técnicas de ataque.
Cómo protegerse de Emotet
Ante el surgimiento de estas nuevas técnicas de ataque, usuarios, empresas y organizaciones deben estar alerta y extremar las precauciones para evitar ser víctima de Emotet.
Desde Proofpoint destacan la importancia de capacitar a los usuarios para detectar y denunciar la existencia de correos electrónicos maliciosos. Apostar por una capacitación de forma regular y con ataques simulados contribuye a identificar mejor las amenazas y las personas más vulnerables.
Asimismo, desde BBVA añaden que es clave crear contraseñas fuertes, además de la autenticación en dos pasos, mantener el antivirus actualizado y el uso de filtros en los correos electrónicos ante la descarga de archivos adjuntos. En el caso de requerir esto último, es preferible ver los mails en modo de lectura para evitar la habilitación de contenidos.
Pero, debido a la peligrosidad de esta amenaza, los expertos de Hornetsecurity hacen hincapié en la necesidad de centrarse en el punto de entrada principal del malware, como es el correo electrónico. Asimismo también apuntan atender a los siguientes aspectos.
- Deben instalarse las actualizaciones de seguridad para sistemas operativos, programas antivirus, navegadores web, clientes de correo electrónico y programas de uso empresarial.
- Como Emotet suele esconderse en archivos de Microsoft Office y necesita macros para instalar malware, tiene sentido no permitirlos. En caso de necesitarlos, es fundamental permitir solo los macros firmados.
- No solo para Emotet, siempre es aconsejable hacer copias de seguridad de los datos de manera regular.
- Los accesos a la red de la empresa deben supervisarse continuamente. Esto permitirá conocer lo antes posible si se produce cualquier infección.
- Extremar las precauciones es fundamental, incluso con correos electrónicos de remitentes conocidos y, muy especialmente, con archivos adjuntos, sobre todo si son Office y con enlaces. En caso de duda, es aconsejable contactar con el remitente y comprobar la credibilidad del contenido.