Los investigadores de seguridad de SophosLabs han estado investigando las actividades actuales de la botnet Emotet reactivada. Describen cómo Emotet actualmente usa CFF, una técnica de codificación utilizada por el malware de la botnet para camuflarse y esconderse de las medidas de seguridad.
Emotet ha sido uno de los servicios de ciberdelincuencia e infecciones de malware más profesionales y longevos en el panorama de las amenazas. La red de bots se hizo notoria poco después de su debut en 2014 y fue detenida en enero de 2021 por una operación multinacional de aplicación de la ley que detuvo sus actividades durante casi un año. Finalmente, en noviembre de 2021, la botnet resurgió y reapareció en el radar de Sophos.
Emotet: De vuelta en el radar
"Después de un paréntesis de aplicación de la ley de casi un año, la infame red de bots Emotet ha vuelto a crecer, como lo demuestran los entornos limitados y los sistemas de monitoreo de SophosLabs", dijo Andreas Klopsch, investigador de seguridad de SophosLabs.
“El gráfico de barras anterior muestra la aparición de Emotet detectada en los sistemas sandbox de Sophos en el primer trimestre de 2022. Como se puede ver en el gráfico, recibimos múltiples envíos de Emotet diariamente; asumimos que los principales picos recurrentes son campañas a gran escala. Emotet se distribuye principalmente a través de correo electrónico no deseado y, naturalmente, más correos electrónicos maliciosos conducen a más envíos de sandbox.
Además, el equipo de investigación notó que Emotet a menudo usa CFF como acelerador para ralentizar las defensas; una técnica utilizada desde 2020.
La ofuscación como táctica
“CFF es una técnica de ofuscación bien conocida que se utiliza para ocultar la intención del malware, lo que dificulta que los defensores comprendan y protejan contra los ataques. El proceso de eliminación de esta técnica de ofuscación se llama 'desaplanar'. Nuestro equipo de investigación en SophosLabs logró descubrir la mayor parte de la funcionalidad ofuscada y rompió varias capas adicionales de ofuscación. Esto nos permite profundizar en el funcionamiento interno de Emotet. Esto permite a las empresas tener una mejor detección y un tiempo de respuesta más rápido en caso de un ataque de Emotet”, dice Andreas Klopsch.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.