Emotet, un troyano modular descubierto a mediados de 2014, permanece activo, según los informes de inteligencia de amenazas de FortiGuard Labs para América Latina y el Caribe, que muestran que impactó en la región durante todo 2021 y continúa este año.
Recientemente, los analistas de Fortinet capturaron más de 500 archivos de Microsoft que llegaron indistintamente a las víctimas a través de usuarios conocidos y desconocidos, pero tenían en común la opción de “Habilitar contenido” de los archivos adjuntos.
El malware, calificado por la Europol como uno de los más dañinos, utiliza la ingeniería social, como el correo electrónico, para atraer a los destinatarios a que abran archivos adjuntos, ya sea documentos de Word, Excel, PDF u otros o bien, que den clic en enlaces que vienen en el contenido de los mensajes de correo.
En caso de caer en la treta de cualquiera de las dos opciones, el usuario descarga la última variante de Emotet en el dispositivo y activa una macro maliciosa que tiene una función llamada “Workbook_Open()”, que se ejecuta automáticamente en segundo plano cuando se abre el archivo de Excel.
Además, llama a otras funciones locales para escribir datos en dos archivos: “uidpjewl.bat” y “tjspowj.vbs” en la carpeta “C:\ProgramData\”. Los datos escritos se leen desde varias celdas de este archivo de Excel. Al final, la macro ejecuta el archivo “tjspowj.vbs” con “wscript.exe”.
También lea: Troyano bancario Qakbot se hizo más peligroso, alerta Sophos
Cuando se carga automáticamente el archivo (“puihoud.dll”), recopila la información básica del dispositivo de la víctima y entonces llama a la API BCryptEncrypt() para encriptar los datos e iniciar la comunicación con el servidor de Comando y Control (C2).
Después, al recibir una respuesta válida del servidor C2, reubica el archivo dll de Emotet descargado de “C:\Windows\ProgramData\puihoud.dll” en la carpeta “%LocalAppData%”.
Para permanecer en el dispositivo de la víctima, Emotet se hace persistente añadiendo el archivo reubicado en el grupo de ejecución automática en el registro del sistema. Así, el troyano es capaz de ejecutarse cuando se inicia el sistema.
Actualización constante
El área que hace investigación avanzada de vulnerabilidades en FortiGuard Labs utiliza ML para detectar nuevos casos de malware, amenazas y riesgos emergentes. Diariamente se reportan 100,000 millones de incidentes de seguridad.
Los responsables de las áreas de seguridad deben mantenerse actualizados y desarrollar constantemente mayores habilidades en su equipo de ciberseguridad.
Especialistas de FortiGuard Labs consideran que la protección más efectiva reside en crear conciencia en el usuario final. Sugieren capacitan a los empleados para que puedan identificar correos electrónicos y mensajes sospechosos, además de entender cómo funciona una campaña de phishing.
También señalan que hay soluciones de seguridad avanzadas ayudan a las organizaciones a mantenerse protegidas.
Por ejemplo, la macro maliciosa dentro de la muestra de Excel se puede desarmar mediante un servicio CDR (Content Disarm & Reconstruction), tecnología para eliminar código potencialmente malicioso de los archivos.
Además, recomiendan contar con un buen servicio de filtrado web que clasifique todas las URL relevantes como “sitios maliciosos”, así como habilitar bloqueo de archivos de malware por un antivirus y contar con una solución de detección y respuesta de endpoint (EDR) para detectar el archivo de Excel y el archivo dll de Emotet como maliciosos en función de su comportamiento.