Es un viejo conocido de los especialistas en seguridad informática que aparece de forma regular desde el instante en que se advirtiera por primera vez en 2014, inficionando sistemas y dañando a los usuarios a través de el hurto de datos bancarios y otras informaciones en los equipos donde se introducía. Tras un periodo de calma, el troyano Emotet vuelve a la carga y esta vez se ha centrado en España, donde podrían verse perjudicados abundantes equipos privados y de empresas si no tomamos una serie de cautelas. En sus 5 años de existencia, Emotet se ha transformado en uno de los códigos maliciosos más señalados en el hurto de credenciales bancarias, usando el e-mail malicioso (malspam) con ficheros adjuntos que el receptor no debería abrir en ningún caso, si bien los complejos sistemas que emplea Emotet para producir confianza son la clave de su expansión. Usando la libreta de direcciones de usuarios ya inficionados, el troyano se extiende mandando correos con un tema que pueda ser atractivo (Factura, Pedido, Envío), y desde un remitente conocido o bien la dirección de una compañía suplantada, mas la clave para advertirlo es la prudencia y un tanto de observación. Una de las pistas es que en el correo recibido aparecen 2 remitentes, el primero el que suplanta el malware para hacerse pasar por alguien de confianza, y el segundo, que pertenece al dominio escogido por los atacantes en sus envíos masivos, que se puede ver en el campo ‘De’ o bien en el ‘Return Path’ de la cabecera del correo. Estos correos acostumbran a venir acompañados de un archivo adjunto en formato Word con nombres muy variados (ARCHIVOFile_H3981.doc, MENSAJE_09019.doc, entre otros muchos), que se acostumbra a usar de cebo para entrar en el computador del receptor del mensaje. Si lo ignoramos, no hay riesgo, mas si el fichero se abre se empieza la ejecución del programa malicioso de Emotet, si bien anteriormente sale un mensaje diciendo que el fichero se halla en un ‘modo de vista protegida’, siendo preciso pulsar en una barra amarilla ubicada en la parte superior y ‘Habilitar edición’, que lo que hace es deshabilitar las medidas de seguridad de Microsoft. Cuando el usuario muerde en el anzuelo, se ejecutan una serie de macros que, por su parte, ejecutarán código en PowerShell, empezando la segunda fase del ataque consistentes en contactar con dominios comprometidos por los atacantes para descargar un fichero malicioso, que en una tercera fase actúa como ‘dropper’ o bien descargador del fichero que contiene el troyano, y que va mudando de manera continua para no ser detectado Su objetivo inicial eran las claves bancarias, si bien con los años ha ido evolucionando y ha creado nuevos módulos que lo han transformado en un malware complejo y polimórfico, dejando progresar su capacidad de continuar escondo y progresar sus posibilidades de propagación. Se dirige tanto a usuarios particulares como pequeñas y medianas empresas, corporaciones y entidades gubernamentales, con la meta de compilar credenciales financieras para lograr substraer elevadas cantidades de dinero de sus víctimas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *