En el panorama actual de la ciberseguridad, la botnet Emotet es una de las mayores fuentes de malspam, la cual constantemente diversifica su arsenal con nuevos señuelos objeto engañar a los usuarios para que se infecten.
Estas campañas de malspam son la base que apuntala la botnet, alimentando nuevas víctimas a la máquina Emotet, una operación de ciberdelito de Malware-as-a-Service (MaaS) que se alquila a otros grupos criminales.
Señuelos
Para evitar que las empresas de seguridad se pongan al día y marquen sus correos electrónicos como "maliciosos" o "spam", el grupo Emotet cambia periódicamente la forma en que se envían estos correos electrónicos y el aspecto de los archivos adjuntos.
Los operadores de Emotet cambian las líneas de asunto del correo electrónico, el texto en el cuerpo del correo electrónico, el tipo de archivo adjunto, pero también el contenido del archivo adjunto, que es tan importante como el resto del correo electrónico.
Esto se debe a que los usuarios que reciben Emotet malspam, además de leer el correo electrónico y abrir el archivo, todavía necesitan permitir que el archivo ejecute scripts automatizados llamados "macros". Las macros de Office solo se ejecutan después de que el usuario ha presionado el botón "Habilitar edición" que se muestra dentro de un archivo de Office.
"Activar edición"
Engañar a los usuarios para que permitan la edición es tan importante para los operadores de malware como el diseño de sus plantillas de correo electrónico, su malware o la infraestructura de backend de la botnet.
A lo largo de los años, Emotet ha desarrollado una colección de documentos de Office con trampas explosivas que utilizan una amplia variedad de "señuelos" para convencer a los usuarios de que hagan clic en el botón "Activar edición". Esto incluye:
Señuelos “Windows Update”
Los archivos adjuntos enviados en campañas recientes de Emotet muestran un mensaje que dice ser del servicio Windows Update, que les dice a los usuarios que la aplicación de Office debe actualizarse. Naturalmente, esto debe hacerse haciendo clic en el botón Habilitar edición (no lo presione).
Estos documentos falsos se envían desde correos electrónicos con identidades falsas, que parecen provenir de conocidos y socios comerciales.
Además, Emotet a menudo utiliza una técnica llamada secuestro de conversaciones, a través de la cual roba los hilos de correo electrónico de los hosts infectados, se inserta en el hilo con una respuesta falsificando a uno de los participantes y agregando los documentos de Office con trampas explosivas como archivos adjuntos.
Panorama
Como ya hemos informado en anteriores boletines, Emotet es una amenaza muy activa que actualiza constantemente su malware en un intento de evadir la detección. Los administradores de redes y seguridad deben asegurarse de que los usuarios de su red estén bien informados sobre las campañas de malspam de Emotet y no abran ningún documento sospechoso.
Según una actualización del grupo Cryptolaemus, (un grupo de investigadores de seguridad que se han unido para luchar contra Emotet), estos señuelos se han enviado en cantidades masivas a usuarios ubicados en todo el mundo. En estos casos, la formación y la concienciación es la mejor forma de prevenir los ataques de Emotet.
El Centro de Ciberinteligencia de Entel recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows Server |
2012 2012 R2 2016 2019 |
Microsoft Windows |
8 8.1 10 |