Después de tres meses de inactividad, Emotet vuelve a la carga. Esta semana se ha detectado en nuevos correos electrónicos con los que reconstruir su red de bots e infectar dispositivos en todo el mundo.
Emotet es ya para muchos un conocido malware distribuido a través de correo electrónico que contiene archivos adjuntos maliciosos con documentos de Microsoft Word y Excel. Cuando los usuarios abren estos documentos y las macros están habilitadas, Emotet se descarga y se instala en la memoria.
Una vez cargado, el malware permanece oculto, esperando instrucciones de un servidor de comando y control remoto.
Como ya se ha visto en otras campañas, este malware consigue robar los correos electrónicos y los contactos de las víctimas para usarlos en futuras campañas de Emotet. Asimismo, también puede descargar cargas útiles adicionales como Cobalt Strike u otro malware que para llevar a cabo ataques de ransomware.
Si bien Emotet se considera el malware más distribuido, su propagación se ha ralentizado gradualmente, y su última operación de spam se vio en noviembre de 2022. La duración de esta campaña ‘solo’ duró dos semanas.
Esta semana, la empresa de ciberseguridad Cofense y el grupo de seguimiento de Emotet Cryptolaemus advirtieron que la botnet había reanudado una vez más el envío de correos electrónicos masivos.
Emotet se oculta en falsas facturas
Aunque el envío de correos maliciosos es, por el momento, bajo, Emotet sigue reconstruyendo su red de bots y recopilando nuevas credenciales y direcciones. Además, en esta ocasión, en lugar de usar correos electrónicos de cadena de respuesta como en la campaña anterior, los actores de amenazas están utilizando correos electrónicos que fingen ser facturas.
Adjuntos a estos correos electrónicos hay archivos ZIP que contienen documentos de Word con más de 500 MB. Los ciberdelincuentes los rellenan con datos no utilizados para hacer que los archivos sean más grandes y más difíciles de escanear y detectar como maliciosos.
Estos documentos de Microsoft Word utilizan la plantilla de documento ‘Red Dawn’ de Emotet, lo que solicita a los usuarios que habiliten el contenido del documento para verlo correctamente.
Asimismo, estos documentos contienen macros que descargarán el cargador de Emotet como una DLL (librería de vínculos dinámicos) de sitios comprometidos, muchos de los cuales son blogs de WordPress hackeados.
Al descargarse, Emotet se guardará en una carpeta con un nombre aleatorio en %LocalAppData% y se iniciará con regsvr32.exe. Al igual que el documento de Word, la DLL de Emotet también se ha rellenado para que tenga 526 MB, lo que complica su capacidad de detección por el antivirus.
Una vez que se ejecuta, el malware se ejecutará en segundo plano, a la espera de comandos, que probablemente instalarán más cargas útiles en el dispositivo. Estas cargas útiles permiten que otros actores de amenazas accedan de forma remota al dispositivo, que luego se utiliza para propagarse más en la red comprometida.
Posible cambio de táctica
El objetivo final es el robo de datos y llevar a cabo ataques de ransomware en las redes comprometidas.
Según Cofense, por el momento Emotet está recopilando datos para futuras campañas de spam. No obstante, hay dudas sobre la efectividad que puede tener después de que Microsoft deshabilitara las macros de forma predeterminada el pasado mes de julio en los documentos de Office.
De esta forma, los usuarios que abran un documento con Emotet recibirán un mensaje que indica que las macros están deshabilitadas porque la fuente del archivo no es de confianza.
Este cambio ya ha llevado a otros actores de amenazas a alejarse de los documentos de Word y Excel y a abusar de otros formatos de archivo, como Microsoft OneNote, imágenes ISO y archivos JS. Por lo tanto, habrá que estar alerta ante la posibilidad de que Emotet también cambie y opte por el uso de otros formatos.
