Emotet: un malware de 2014 que está causando estragos en 2020 y sobre el que están alertando las agencias de seguridad de muchos países

Arantxa Herranz

Emotet, una botnet aparecida en 2014, está haciendo que las agencias de seguridad de diversos países envíen avisos y alertar en las últimas semanas al apreciarse unaumento de sus ataques. En estos nuevos ataques, este código se dedica a propagarotros malware, con campañas de phishing y spam, entre otras.

Estamos ante un troyano avanzado que se propaga principalmente a través del correo electrónico mediante mensajes tipo phishing o spam que contienen archivos Word adjuntos o enlaces URL. Una vez que se hace clic, se lanza la carga viral y el malware intenta proliferar dentro de la red. Para ello utiliza técnicas como la fuerza bruta de las credenciales de usuario y escribiéndose en unidades compartidas. La complejidad de este malware reside en quese comporta como un gusano para propagarse pero tiene la capacidad de infectar como un troyano y de ser usado como una red de bots.

Además de todo lo anterior, Emotet utiliza una variedad de métodos para mantener lastécnicas de persistencia y evasióne intentar así evitar ser detectado en la red, mientras propaga dentro de ella todo tipo de ransomware.

Emotet está diseñado pararobar credenciales de inicio de sesiónde cuentas de correo electrónico configuradas en sistemas infectados. Las credenciales comprometidas se pasan posteriormente a los robots de spam que envían una gran cantidad de correos electrónicos no deseados para propagar aún más el malware. O pueden robar información que está en el buzón de correo electrónico y usarla para enviar correos desde otro lugar.

Eneste enlacese pueden consultar todas las técnicas que Emotet utiliza para diferentes propósitos, como el uso de la fuerza bruta de las contraseña de administrador local, emplear una lista codificada de contraseñas para forzar las cuentas de usuario o utilizar cmd.exe para ejecutar un script de PowerShell.

Emotet, un malware canguro de otros malware

Parte de la complejidad de Emotet estriba en que contiene y facilita la infección y propagación de otro tipo de código maligno. Así, en los ataques de estas últimas semanasse está utilizandopara instalar otro tipo de malware (como Trickbot y QBot) en los ordenadores y redes que infecta.

Trickbotes un malwareque puede no ser detectado por el usuario, perosí por el administrador de sistemassiobserva cambios en el tráficoo intentos de llegar a direcciones IP y dominios que están en la lista negra. El malware se comunica con la infraestructura de control y comando de Trickbot para filtrar datos y recibir tareas.

Según laAgencia de Seguridad Nacional de Estados Unidos, el tráfico a dominios o IP conocidos que están relacionados con Emotet se suele producir a través de los puertos 80, 8080 y 443, aunque también se tiene constancia de que se utilizó el puerto 445.

QBot, por su parte, recopila datos de navegación y roba credenciales bancarias y otra información financiera de las víctimas. Estáaltamente estructurado, tiene varias capasyse está desarrollando continuamentecon nuevas características para ampliar sus capacidades. Una vez que una máquina está infectada, QBot activa un “módulo recolector de correo electrónico” especial que extrae todos los hilos de correo electrónico del cliente Outlook de la víctima y los carga en un servidor remoto codificado. Estos correos electrónicos robadosse utilizanpara futuras campañas de malspam, lo que facilita que los usuarios sean engañados para que hagan clic en archivos adjuntos infectados porque el correo no deseado parece continuar una conversación de correo electrónico legítima existente.

Tanto Trickbot como QBot pueden usarse paraproporcionar acceso a una red para comprometerla, así como para filtrar datos. Además, se suele utilizar para la instalación dealgunos ransomwarecomo Ryuk, Maze, Conti o ProLock en dicha red.

Los organismos nacionales de seguridad dan la voz de alarma

Este rebrote de actividad de Emotet está llevando a que diversos organismos nacionales encargados de velar por la seguridad cibernética esténlanzando avisos y advertencias. La última en hacerlo ha sido la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos, quien asegura quedesde julio de 2020, ha detectado aproximadamente 16.000 alertasrelacionadas con la actividad de Emotet.

Ya en agosto de este año elINCIBE ya avisabade que se estaba constatando este aumento de su actividad. Las agencias de ciberseguridad enCanadá,Francia,Japón,Nueva Zelanda,Italiay losPaíses Bajostambién han informado sobre picos en la actividad relacionada con Emotet. Incluso la propiaMicrosoft ha advertidode ello a través de Twitter.

Según la CISA,Emotet es difícil de combatirdebido a sus características parecidas a la de los gusanos, que permiten infecciones en toda la red.

Un malware como el Guadiana

Emotet apareció por primera vez como un troyano bancario en 2014. Cuandose identificó, podría decirse queera el típico malware bancario: se difundía a través de spam, los correos electrónicos se presentaban como facturas o detalles de transferencias bancarias para engañar al usuario y que hiciera clic en varios enlaces.

Pero, desde entonces, este malware ha ido perfeccionando aún más en sus técnicas de infección. Ya en 2018 la CISAasegurabaque Emotet era un troyano bancario modular avanzado que funcionaba principalmente como “descargador o cuentagotas de otros troyanos bancarios”.

A lo largo de los años, losinvestigadores de seguridadhan notado queEmotet ha resurgido repetidamente después de períodos de inactividad. Emotet volvió a la vida en septiembre de 2019 y continuó enviando spam malicioso y correos electrónicos de phishing hasta que se quedó en silencio nuevamente en febrero de este año. Sin embargo, como estamos viendo, la red se puso de nuevo en marcha en julio y, desde entonces, mantiene en alerta a los expertos de seguridad..

Emotet ha pasado también poralgunas iteraciones. Lasprimeras versiones llegaron como un archivo JavaScriptmalicioso. Las versiones posteriores evolucionaron para utilizar documentos habilitados para macros para recuperar la carga útil del virus de los servidores de comando y control ejecutados por los atacantes.