En 2021, se rompió la red en torno a Emotet. Pero eso no significa que Emotet haya desaparecido por completo de la web. Al contrario: siempre hay indicios de que el grupo en torno a Emotet está buscando nuevas vías de ataque.
Desde su regreso, Emotet ha aparecido en varias campañas de spam. Mealybug, el grupo de hackers detrás de la botnet, ha desarrollado numerosos módulos nuevos y ha revisado los existentes. Los autores intelectuales detrás de Emotet aprendieron mucho del derribo hace dos años e invirtieron mucho tiempo en evitar que se descubriera su botnet.
La infraestructura de Emotet está muerta: el malware vive
En su última operación se atacaron objetivos en Italia, España, Japón, México y Sudáfrica. Desde abril de 2023 se suspendieron las actividades de Emotet. Los investigadores de ESET sospechan que los piratas informáticos buscan nuevos vectores de ataque.
“Emotet se propaga a través de correos electrónicos no deseados. El malware puede robar información confidencial de las computadoras comprometidas e inyectarles malware de terceros. Los operadores de Emotet no son muy exigentes con sus objetivos. Instalan su malware en los sistemas de individuos, empresas y organizaciones más grandes”, dice el investigador de ESET Jakub Kaloč, quien ayudó con el análisis.
Emotet tuvo que encontrar un nuevo vector de ataque
Desde finales de 2021 hasta mediados de 2022, Emotet se difundió principalmente a través de macros VBA en documentos de Microsoft Word y Excel. En julio de 2022, Microsoft cambió el juego para todas las familias de malware como Emotet y Qbot, que habían utilizado correos electrónicos de phishing con documentos maliciosos como método de propagación, al deshabilitar las macros de VBA en documentos extraídos de Internet.
“El cierre del principal vector de ataque de Emotet llevó a sus operadores a buscar nuevas formas de comprometer sus objetivos. Mealybug comenzó a experimentar con archivos LNK y XLL maliciosos. Sin embargo, a medida que 2022 llegaba a su fin, los operadores de Emotet lucharon por encontrar un nuevo vector de ataque tan efectivo como las macros de VBA. En 2023, realizaron tres campañas de malspam diferentes, cada una probando una ruta de intrusión ligeramente diferente y una técnica de ingeniería social diferente”, explica Kaloč. “Sin embargo, el alcance decreciente de los ataques y los cambios constantes en el enfoque pueden indicar insatisfacción con los resultados.” Emotet luego incorporó un señuelo en Microsoft OneNote. A pesar de las advertencias al abrir que esta acción podría generar contenido malicioso, los usuarios hicieron clic en él.
Los delincuentes siguen desarrollando Emotet
Después de su reaparición, Emotet recibió varias actualizaciones. Las características más notables fueron que la botnet cambió su esquema criptográfico e implementó varias ofuscaciones nuevas para proteger sus módulos. Desde su regreso, los operadores de Emotet han realizado importantes esfuerzos para evitar que su red de bots sea monitoreada y rastreada. Además, implementaron varios módulos nuevos y mejoraron los módulos existentes para seguir siendo rentables.
Emotet se distribuye a través de correos electrónicos no deseados. Las personas a menudo confían en estos mensajes porque los delincuentes utilizan técnicas especiales para secuestrar los historiales de conversaciones en los correos electrónicos. Antes del cierre, Emotet usó módulos que llamamos Outlook Contact Stealer y Outlook Email Stealer, que podían robar correos electrónicos e información de contacto de Outlook. Sin embargo, dado que no todos usan Outlook, después de regresar, Emotet también se centró en una aplicación de correo electrónico alternativa gratuita: Thunderbird. Además, comenzó a usar el módulo Google Chrome Credit Card Stealer, que roba la información de la tarjeta de crédito almacenada en el navegador Google Chrome.
Según la telemetría de ESET y la impresión de los investigadores, las botnets de Emotet han estado tranquilas desde principios de abril de 2023. Esto probablemente se deba a la búsqueda de un nuevo vector de ataque efectivo. Japón (2022%), Italia (43%), España (13%), México (5%) y Sudáfrica (5%) fueron el blanco de la mayoría de los ataques detectados por ESET desde enero de 4 a la fecha.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.