El Troyano Bancario Emotet afecta a usuarios españoles. Evita el ataque del correo malicioso.
Tras unos meses de verano durante los cuales los delincuentes detrás del infame troyano bancario Emotet parecía que se habían tomado un descanso, ahora regresan con más fuerza con campañas afectando a varias regiones del mundo. Un ejemplo claro lo tenemos en la elevada cantidad de correos que, desde hace unos días y, con más intensidad, en las últimas horas están recibiendo usuarios españoles de remitentes aparentemente confiables y que adjuntan un documento Word.
Emotet: descripción y evolución.
Emotet no es precisamente un desconocido en el mundo de las amenazas informáticas. Activo desde 2014 estamos ante un troyano bancario que ha sufrido numerosas revisiones desde entonces y que lo han convertido en uno de los códigos maliciosos más destacados en su campo: el robo de credenciales bancarias. Su método de propagación preferido es el correo malicioso o malspam con ficheros o enlaces adjuntos que tratan de convencer a los usuarios para que pulsen sobre ellos o los abran.
Para conseguirlo utiliza asuntos muy escuetos pero directos, tales como “Propuesta”, “Respuesta” o “Nueva Plantilla”, acompañados de cuerpos de mensaje breves y sin añadir información adicional. El peligro radica en el enlace incluido o fichero adjunto, ya que si el usuario pulsa o los abre, se iniciará la cadena de ejecución del malware que terminará instalando Emotet en el sistema y comprometiendo su seguridad.
El principal objetivo de Emotet son las credenciales bancarias, aunque a lo largo de los años ha ido evolucionando para incluir nuevos módulos que lo han convertido en un malware complejo y polimórfico. Esto le permite mejorar su capacidad de permanecer oculto, aumentar sus posibilidades de propagación o instalar otras variantes de malware. No obstante, tal y como veremos más adelante, hay medidas de seguridad que permiten detectarlo a tiempo antes de que logre infectar el sistema.
Con respecto a sus víctimas, Emotet no hace distinción y se dirige tanto a usuarios particulares como pymes, corporaciones y entidades gubernamentales. Su objetivo es recopilar la mayor cantidad posible de credenciales financieras para así conseguir sustraer elevadas cantidades dinero desde las cuentas de sus víctimas y a sus creadores no parece importarles de donde venga ese dinero.
Reactivación y vector de ataque.
A mediados de septiembre se comenzaron a detectar nuevas muestras de este troyano, algo de lo que ya venían alertando algunos investigadores tras observar la reactivación de alguno de sus centros de mando y control (C&C) en las semanas anteriores. Este regreso de Emotet ha sido bastante potente y, desde el pasado 16 de septiembre hasta el momento se han registrado una elevada cantidad de emails con enlaces y adjuntos maliciosos pertenecientes a esta campaña.
En España hemos observado un repunte importante desde finales de la semana pasada y, más concretamente, durante los últimos dos días. Cabe destacar que, una vez Emotet consigue infectar un sistema, utiliza la libreta de direcciones de correo de ese equipo para reenviarse a todos sus contactos para así tratar de conseguir nuevas víctimas.