Retorno de Emotet previo a fiestas de fin de año

Troyano Emotet vuelve a aparecer luego de casi siete semanas de inactividad no siendo coincidencia cuyo retorno sea días previos a navidad. Esta nueva aparición trae consigo métodos actualizados en su modo operandi con su carga útil como una DLL junto con un mensaje de error falso.

Como ya lo hemos mencionado en anteriores boletines Emotet se caracteriza por ser un troyano que se propaga por medio de archivos adjuntos en correos electrónicos maliciosos de phishing. El usuario al hacer clic en estos inicia la carga útil generando que el malware se introduzca dentro de la red mediante la fuerza bruta de las credenciales del usuario dando pie a que el malware descargue diversos ejecutables.

Asimismo, se le conoce por la conexión que mantuvo dentro de la tríada de malware junto a ransomware Ryuk y el troyano bancario Trickbot que causaron estragos en años anteriores.

Evolución de Emotet

A diferencia de la forma usual en la que trabaja el malware, se logró evidenciar cambios en su última aparición en la cual están cargando su carga útil como una DLL junto con un mensaje de error falso.

Si bien esta versión de Emotet podría ser similar a versiones anteriores, el desarrollador del malware optó por usar bibliotecas dinámicas para permitir que sus funciones se actualicen fácilmente, señaló el CISA en su aviso.

"Emotet es difícil de combatir debido a sus características 'parecidas a gusanos' que permiten infecciones en toda la red", afirmó la agencia. "Además, Emotet utiliza bibliotecas de vínculos dinámicos modulares para evolucionar y actualizar continuamente sus capacidades".

Emotet antes y ahora

Según un gráfico de las muestras de Emotet cargadas en el servicio ANY.RUN, puede ver el comportamiento del malware en 2019 y 2020.

Podemos notar algunas similitudes en su actividad. Por ejemplo, en junio, Emotet tiende a estar en declive. Sin embargo, parece mostrar una tendencia creciente desde agosto hasta octubre. En 2019, el final del año fue muy activo para este tipo de ataque, por lo que podemos esperar y lo evidenciado hasta el momento, que en diciembre de este año también se producirá este aumento.

Gráfico de las muestras de Emotet cargadas en el servicio ANY.RUN

Campaña Emotet

Si bien la última campaña de Emotet comenzó a mediados de diciembre, la actividad se hizo más evidente en las últimas semanas. Proofpoint emitió una breve declaración en Twitter el 21 de diciembre que también mostraba una captura de pantalla de la ingeniería social utilizada para intentar que las víctimas desactiven las funciones de Microsoft 365 que bloquean documentos maliciosos.

Carga útil como una DLL junto con un mensaje de error falso.

Panorama

Como en gran parte del mundo, debido a la pandemia, la mayoría de las empresas y compañías han optado por el trabajo remoto y prontas de salir de vacaciones, situación que genera un escenario perfecto para los ciberdelincuentes que aprovechan la disminución de personal para generar nuevos y modernos ataques a las instituciones. Más aún a fines de un año que ha sido fuertemente golpeado por diversos ataques maliciosos como el reciente de SolarWinds.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.