Emotet un malware de correo electrónico ‘indetectable’

Esta semana el gobierno australiano advirtió sobre una campaña del malware Emotet en curso capaz de robar inicios de sesión bancarios, datos financieros e incluso vaciar billeteras de criptomonedas.
El sofisticado troyano bancario, conocido como Emotet, también puede pasar desapercibido por el software antivirus y puede reenviarse a cada contacto de correo electrónico de una víctima, lo que aumenta la probabilidad de una mayor infección.
Detectado por primera vez en Europa en 2014, el troyano bancario Emotet se ha infiltrado recientemente en las bandejas de entrada de Australia a través de correos electrónicos de cuentas comprometidas.
El cuerpo del correo electrónico indica al destinatario que abra un archivo adjunto de Word o PDF, generalmente en forma de declaración, acuerdo o factura.
Como los correos electrónicos se envían desde cuentas de correo electrónico secuestradas, los destinatarios pueden sentirse seguros de hacer clic en cualquier enlace o documento, ya que parecen provenir de un contacto confiable.
Una vez que se abre el documento, la carga útil en el archivo adjunto se ejecuta y da acceso a los piratas informáticos a la computadora de la víctima. También hace que los sistemas sean vulnerables a las inyecciones de ransomware.
En respuesta a la escala de la campaña, los Acuerdos nacionales de gestión de incidentes cibernéticos (CIMA) han aumentado la amenaza a un «Nivel 3: Alerta».
El CIMA ayuda a coordinar la respuesta del gobierno a los incidentes cibernéticos nacionales, con incidentes que van desde el «Nivel 5: Condiciones normales» hasta el «Nivel 1: Crisis cibernética nacional».
El nivel 3 cae en la categoría de «incidente cibernético significativo», ya que puede tener un «impacto importante» en los servicios, la información, los activos y la reputación del gobierno.
La directora del Centro de Seguridad Cibernética de Australia, Rachel Noble, dijo que el malware se ha dirigido contra empresas e individuos australianos.
«La ACSC está trabajando en estrecha colaboración con los gobiernos estatales y territoriales para limitar la propagación de este virus informático y proporcionar asesoramiento y asistencia técnica y apoyar a las organizaciones afectadas», dijo.
«Si Emotet infecta su computadora, se abrirá una puerta trasera que permitirá al cibercriminal inyectar ransomware que podría congelar su red».
La Sra. Noble instó a las víctimas a no pagar el rescate.
«No hay garantía de que pagar el rescate arregle su computadora, y podría hacerlo vulnerable a más ataques. Restaure sus archivos de la copia de seguridad y busque asesoramiento técnico», dijo.
El ACSC recomienda tomar los siguientes pasos de inmediato para prevenir la infección:
  • Deshabilite las macros de Microsoft Office. (Las macros son pequeños programas que se utilizan para automatizar tareas simples en documentos de Microsoft Office, pero se pueden usar de forma malintencionada) 
  • Mantener cortafuegos
  • Asegúrese de tener una copia de seguridad fuera de línea de su información
TAMBIEN TE PUEDE INTERESAR:  10 predicciones de la Ciberseguridad de 2019 a 2021

Según la agencia  CISA en los Estados Unidos,  Emotet sigue estando entre los programas maliciosos más costosos y destructivos que afectan a los gobiernos de SLTT. Sus características parecidas a gusanos provocan una rápida propagación de infecciones en toda la red, que son difíciles de combatir. Las infecciones de Emotet han costado a los gobiernos de SLTT hasta $ 1 millón por incidente para remediar.

Emotet es un troyano bancario modular avanzado que funciona principalmente como descargador o cuentagotas de otros troyanos bancarios. Además, Emotet es un troyano bancario polimórfico que puede evadir la detección típica basada en firmas. Tiene varios métodos para mantener la persistencia, incluidos los servicios y las claves de registro de inicio automático. Utiliza bibliotecas de enlace dinámico (DLL) modulares para evolucionar y actualizar continuamente sus capacidades. Además, Emotet es compatible con máquinas virtuales y puede generar indicadores falsos si se ejecuta en un entorno virtual.

Emotet se difunde a través de malspam (correos electrónicos que contienen archivos adjuntos o enlaces maliciosos) que utiliza una marca familiar para el destinatario; incluso se ha extendido usando el nombre de MS-ISAC. A partir de julio de 2018, las campañas más recientes imitan recibos de PayPal, notificaciones de envío o facturas «vencidas» supuestamente de MS-ISAC. La infección inicial ocurre cuando un usuario abre o hace clic en el enlace de descarga malicioso, PDF o documento de Microsoft Word con macro incluido en el malspam. Una vez descargado, Emotet establece persistencia e intenta propagar las redes locales a través de módulos de extensión incorporados.

Felipe Argüello
Felipe Argüello

Felipe Argüello es el fundador de Infoteknico. Ingeniero con más de 30 años de experiencia trabajando en América Latina, Estados Unidos y Europa en las áreas de ingeniería, consulta técnica, proyectos, ventas y entrenamiento en soluciones de alta tecnología y seguridad electrónica.

Artículos: 867