Emotet: la amenaza mas peligrosa de los últimos años da novedades
Emotet, el troyano que se ha caracterizado desde hace ya un tiempo por difundir grandes campañas de correos electrónicos no deseados (malspam), y que a lo largo de los años se ha logrado convertir en un Bonet de alta potencia, ahora se encuentra pirateando redes Wi-Fi cercanas para propagarse como un gusano. ¿De donde sale este troyano, cómo se propaga y cuáles son sus novedades? Sigue leyendo.
Emotet ¿Qué es?
Inicialmente esta amenaza fue descubierta en el año 2014 como un troyano bancario catalogado como “simple”, afirmación que no duró mucho puesto que luego se convertiría, con el pasar del tiempo, en uno de los botnet´s más potentes de los últimos tiempos. Su transformación fue rápida y certera, incluyendo su capacidad de modularidad al lograr entregar malware utilizando capacidades similares a las de los gusanos. Hoy por hoy, según el Departamento de Seguridad Nacional de los EE. UU, esta amenaza es identificada como unos de los programas más maliciosos, costosos y destructivos.
¿Cómo funciona la amenaza Emotet?
El método de distribución principal para Emotet es a través de malspam. Emotet saquea una lista de contactos y se la envía a sus amigos, familiares, compañeros de trabajo y clientes. Dado que estos correos electrónicos provienen de su cuenta de correo electrónico secuestrada, los correos electrónicos se parecen menos al correo no deseado y los destinatarios, sintiéndose seguros, están más propensos a abrir los correos y dar click en cualquier enlace.
Emotet en su proceso de transformación y avance se ha relacionado con familias de bancos de malware con reputación de campañas destructivas como Bugat, Feodo, Geodo, Heodo, Cridex, Dridex. Así mismo, ha sido visto distribuyendo AZORult, IcedID, ZeuS Panda y TrickBot.
¿Cómo hace esta amenaza para tener tanto éxito y seguir estando activo después de tanto tiempo?
Para que una campaña de malware tenga éxito a largo plazo, los autores de malware deben actualizar continuamente su base de código y atacar vectores de forma regular para frustrar la detección y la corrección. Esto es similar a un trabajo a tiempo completo, y aunque no se tiene ninguna evidencia del funcionamiento interno de los delincuentes detrás de Emotet, es evidente que quienes están detrás de estos ataques lo tratan como un negocio altamente serio y exitoso, con un equipo de desarrolladores dedicados, con la única diferencia de que es una empresa criminal ilegal.
Su actividad sigue estando vigente gracias a su difícil detección. Emotet utiliza una serie de trucos para tratar de evitar la detección y el análisis. En particular, Emotet sabe si se está ejecutando dentro de una máquina virtual (VM) y permanecerá inactivo si detecta un entorno de espacio aislado, que es una herramienta que los investigadores de ciberseguridad utilizan para observar el malware dentro de un espacio seguro y controlado.
Emotet: ¿Cuál es su target?
Inicialmente eran bancos, hoy todos son un objetivo para Emotet. Hasta la fecha, Emotet ha afectado a individuos, empresas y entidades gubernamentales en los Estados Unidos y Europa, robando inicios de sesión bancarios, datos financieros e incluso billeteras de Bitcoin.
Lo nuevo: Emotet ahora tiene la capacidad de propagarse a redes Wi-Fi inseguras
Con nuevas tácticas de evasión e ingeniería social para robar credenciales y propagar troyanos a las victimas viene recargada esta famosa amenaza.
A través de una muestra de malware Emotet recientemente descubierta, esta amenaza tiene la capacidad de propagarse a redes Wi-Fi inseguras que se encuentran cerca de un dispositivo infectado.
Si bien los investigadores notaron que el binario de propagación de Wi-Fi se entregó por primera vez el 23 de enero, dijeron que el ejecutable tiene una marca de tiempo del 16 de marzo del 2018, insinuando que el comportamiento de propagación de Wi-Fi ha estado funcionando inadvertido durante casi dos años. Esto puede deberse en parte a la poca frecuencia con la que se descarta el binario, dijeron los investigadores, ya que es la primera vez que lo ven a pesar de rastrear a Emotet desde su regreso en 2019.
Conclusión y soluciones:
No hay duda de que Emotet es una de las campañas de malware más impactantes de nuestro tiempo. Lo que comenzó como un troyano bancario «simple» se ha convertido no solo en una de las botnets más peligrosas y complejas de la memoria reciente, sino que también ha evolucionado constantemente con los tiempos para mantenerse altamente relevante.
Si deseas saber un poco más sobre esta exitosa y maliciosa amenaza te recomendamos leer este informe detallado realizado por Fortinet.