Nuevos ataques de Emotet utilizan señuelos falsos de Windows Update

En el panorama actual de la ciberseguridad, la botnet Emotet es una de las mayores fuentes de malspam, la cual constantemente diversifica su arsenal con nuevos señuelos objeto engañar a los usuarios para que se infecten.

Estas campañas de malspam son la base que apuntala la botnet, alimentando nuevas víctimas a la máquina Emotet, una operación de ciberdelito de Malware-as-a-Service (MaaS) que se alquila a otros grupos criminales.

Señuelos

Para evitar que las empresas de seguridad se pongan al día y marquen sus correos electrónicos como "maliciosos" o "spam", el grupo Emotet cambia periódicamente la forma en que se envían estos correos electrónicos y el aspecto de los archivos adjuntos.

Los operadores de Emotet cambian las líneas de asunto del correo electrónico, el texto en el cuerpo del correo electrónico, el tipo de archivo adjunto, pero también el contenido del archivo adjunto, que es tan importante como el resto del correo electrónico.

Esto se debe a que los usuarios que reciben Emotet malspam, además de leer el correo electrónico y abrir el archivo, todavía necesitan permitir que el archivo ejecute scripts automatizados llamados "macros". Las macros de Office solo se ejecutan después de que el usuario ha presionado el botón "Habilitar edición" que se muestra dentro de un archivo de Office.

"Activar edición"

Engañar a los usuarios para que permitan la edición es tan importante para los operadores de malware como el diseño de sus plantillas de correo electrónico, su malware o la infraestructura de backend de la botnet.

A lo largo de los años, Emotet ha desarrollado una colección de documentos de Office con trampas explosivas que utilizan una amplia variedad de "señuelos" para convencer a los usuarios de que hagan clic en el botón "Activar edición". Esto incluye:

• Documentos que afirman que se han compilado en una plataforma diferente (es decir, Windows 10 Mobile, Android o iOS) y el usuario debe habilitar la edición para que aparezca el contenido.
• Documentos que afirman que se han compilado en versiones anteriores de Office y que el usuario debe habilitar la edición para que aparezca el contenido.
• Documentos que afirman estar en Vista protegida y solicitan al usuario que habilite la edición. (Irónicamente, el mecanismo de Vista protegida es el que bloquea las macros y muestra el botón / restricción Habilitar edición).
• Documentos que afirman contener material sensible o de distribución limitada que solo es visible después de que el usuario habilita la edición.
• Documentos que muestren asistentes de activación falsos y que afirmen que la activación de Office se ha completado y que el usuario solo necesita hacer clic en habilitar la edición para usar Office; y muchos más.

Señuelos “Windows Update”

Los archivos adjuntos enviados en campañas recientes de Emotet muestran un mensaje que dice ser del servicio Windows Update, que les dice a los usuarios que la aplicación de Office debe actualizarse. Naturalmente, esto debe hacerse haciendo clic en el botón Habilitar edición (no lo presione).

Estos documentos falsos se envían desde correos electrónicos con identidades falsas, que parecen provenir de conocidos y socios comerciales.

Además, Emotet a menudo utiliza una técnica llamada secuestro de conversaciones, a través de la cual roba los hilos de correo electrónico de los hosts infectados, se inserta en el hilo con una respuesta falsificando a uno de los participantes y agregando los documentos de Office con trampas explosivas como archivos adjuntos.

Panorama

Como ya hemos informado en anteriores boletines, Emotet es una amenaza muy activa que actualiza constantemente su malware en un intento de evadir la detección. Los administradores de redes y seguridad deben asegurarse de que los usuarios de su red estén bien informados sobre las campañas de malspam de Emotet y no abran ningún documento sospechoso.

Según una actualización del grupo Cryptolaemus, (un grupo de investigadores de seguridad que se han unido para luchar contra Emotet), estos señuelos se han enviado en cantidades masivas a usuarios ubicados en todo el mundo. En estos casos, la formación y la concienciación es la mejor forma de prevenir los ataques de Emotet.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.