Emotet ataca de nuevo

Emotet, una de las botnets más extendidas a nivel mundial, ha vuelto a la acción después de un breve desmantelamiento. ESET Research ha publicado un resumen detallado sobre la reaparición de Emotet y sus últimas actividades.

¿Qué es Emotet?

Emotet, una familia de malware que ha estado activa desde 2014, es operada por un grupo de ciberdelincuentes conocido como Mealybug o TA542. Inicialmente, Emotet era un troyano bancario, pero con el tiempo evolucionó hasta convertirse en una botnet que representaba una de las mayores amenazas a nivel global.

En enero de 2021, las autoridades llevaron a cabo un desmantelamiento limitado de Emotet gracias a la colaboración de ocho países, coordinada por Eurojust y Europol. Sin embargo, Emotet volvió a la vida en noviembre de 2021 y desde entonces ha llevado a cabo múltiples campañas de spam.

En las últimas campañas de Emotet, que tuvieron lugar entre 2022 y 2023, se detectó que la mayoría de los ataques se dirigieron principalmente a Japón (casi la mitad de ellos), Italia, España, México y Sudáfrica, según los datos recopilados por ESET.

¿Cómo se ha propagado últimamente?

Durante el período comprendido entre finales de 2021 y mediados de 2022, Emotet se propagaba principalmente a través de documentos maliciosos de MS Word y MS Excel con macros VBA incrustadas. Sin embargo, en julio de 2022, Microsoft realizó cambios importantes al desactivar las macros VBA en los documentos descargados de Internet, lo que afectó directamente a Emotet y otras familias de malware que utilizaban esta técnica de distribución.

A pesar de estos obstáculos, Emotet encontró nuevas formas de propagarse. En un intento por evadir la detección, el malware incrustó señuelos en MS OneNote, una aplicación de toma de notas popular. A pesar de las advertencias sobre el riesgo potencial, muchos usuarios hicieron clic en los enlaces incrustados, lo que permitió que Emotet continuara su propagación.

Cambios en su esquema criptográfico

Además, los operadores de Emotet realizaron actualizaciones significativas al cambiar su esquema criptográfico y agregar múltiples capas de ofuscación para proteger sus módulos. Han invertido grandes esfuerzos en evitar la vigilancia y el rastreo de su botnet desde su regreso, además de implementar nuevos módulos y mejorar los existentes para garantizar su rentabilidad.

La técnica principal utilizada por Emotet para propagarse sigue siendo el correo electrónico de spam. Emotet se aprovecha de la confianza que los usuarios depositan en los correos electrónicos legítimos y utiliza una técnica de secuestro de hilos de correo electrónico para difundirse. Antes del desmantelamiento, Emotet utilizaba módulos denominados “Outlook Contact Stealer” y “Outlook Email Stealer” para robar correos electrónicos y contactos de Outlook.

Sin embargo, tras su reaparición, Emotet se adaptó a los cambios y comenzó a dirigir sus ataques hacia una aplicación de correo electrónico alternativa y gratuita llamada “Thunderbird”. Además, incorporó el módulo “Google Chrome Credit Card Stealer” para robar información de tarjetas de crédito almacenada en el navegador Google Chrome.

Países más afectadas por botnets

Según la investigación y telemetría realizada por ESET, las actividades de las botnets Emotet han estado relativamente tranquilas desde principios de abril de 2023. Se especula que esto podría deberse al descubrimiento de un nuevo vector de ataque efectivo por parte de los operadores de Emotet. Durante el período comprendido entre enero de 2022 y la actualidad, ESET detectó que la mayoría de los ataques de Emotet se dirigieron principalmente a Japón (43%), seguido de Italia (13%), España (5%), México (5%) y Sudáfrica (4%).