¿Qué es y cómo funciona el malware Emotet?

Introducción

Cuando algunos escuchan por primera vez el nombre Emotet, pueden pensar que están escuchando el nombre del villano de la última película de malvadas momias. Pero los Emotets pueden considerarse aún más aterradores que el arcaico villano de las películas de terror. Esto, especialmente cuando descubres cuánto daño puede causar esta amenaza emergente.

En este artículo exploraremos el tipo de malware conocido como Emotet. Veremos qué es y arrojaremos algo de luz sobre cómo funciona esta amenaza, la historia de Emotet y el impacto que Emotet puede causar. También daremos algunos consejos sobre cómo limitar el efecto de una infección de Emotet.

¿Qué es emotet?

Emotet es un troyano bancario que se descubrió por primera vez en 2014 y se centró en robar información financiera de usuarios de sistemas comprometidos. La información rabada incluía información de tarjetas de crédito, información bancaria y más. No es solo otro troyano que roba información, sino una gran amenaza que ya ha atraído una atención seria.

En julio de 2018, el Departamento de Seguridad Nacional de Estados Unidos Emitió una alerta sobre Emotet, describiéndolo como un troyano bancario modular avanzado. Este actuó como un dropper o descargador de otro malware, incluidos los troyanos bancarios.

Esta alerta advirtió que Emotet puede evadir la detección basada en firmas y tiene la intención de propagarse, lo que dificulta el combate. Seguridad Nacional no emite alertas para cada malware que asoma su fea cabeza , lo que distingue aún más este tipo relativamente nuevo de malware.

¿Cómo funciona Emotet?

Este troyano bancario modular se propaga a través de correos electrónicos no deseados de malware, o malspam, y puede infectar sistemas Windows con scripts maliciosos. También puede infectar mediante enlaces maliciosos incrustados y documentos habilitados para macros. Estos archivos maliciosos se almacenan en un servidor de comando y control (C2) y están disponibles cuando Emotet los necesita.

Emotet utiliza una marca familiar de correo electrónico para engañar a los usuarios desprevenidos. Combina esto con un lenguaje atractivo como “Tu pedido” o “Tu factura” y tendrás una receta para el desastre (o infección).

Después de que la infección se apodera, Emotet utiliza una combinación de propagación de red, persistencia y descarga/instalación de otro malware para completar su infección. Esto lo hace no solo de la máquina comprometida sino de toda la red. Algunos ejemplos comunes de otro malware que se sabe que Emotet instala en sistemas comprometidos incluyen Ryuk y TrickBot.

Una de las cosas más difíciles de Emotet es su capacidad para reinfectar sistemas. Cuando se ha limpiado de una máquina infectada, se sabe que reinfecta la máquina y propaga aún más esta infección por la red.

Otro aspecto difícil al respecto es su capacidad de primer nivel para extenderse. La versión actual de Emotet utiliza cinco módulos de distribución diferentes: WebBrowserPassView, NetPass.exe, MailPassView, un enumerador de credenciales y un scraper de Outlook.

Historia de Emotet

Emotet ha experimentado cambios rápidos desde su inicio en 2014, lo que lo hace muy difícil de combatir. Los cambios entre las versiones de Emotet han sido tan drásticos que cada nueva versión puede parecer un malware completamente diferente. La primera versión de este malware se centró en el robo de información bancaria confidencial mediante la intercepción del tráfico de Internet del sistema comprometido.

Emotet versión 2 salió poco después y ofreció algunos cambios importantes. Estos cambios incluyeron la adición de varios módulos, incluido un módulo malspam, un sistema de transferencia de dinero y un módulo bancario.

La versión 3 apareció por primera vez en enero de 2015. Esta versión ofrecía capacidades de sigilo extendidas para evitar la detección y algunos módulos destinados a la comunidad bancaria suiza.

La próxima versión de Emotet no apareció hasta 2018, cuando comenzó a instalar otro malware y ransomware en sistemas Windows comprometidos. La versión más reciente de Emotet nació en septiembre de 2019 y vino con capacidades mejoradas de botnet. Esta descarga Emotet de un sitio infectado de WordPress cuando se abre un documento malicioso.

Impacto de Emotet

El impacto negativo que puede causar una infección de Emotet no es sencillo de ninguna manera. Este impacto incluye, pero no se limita a:

  • Pérdida de información confidencial y de propiedad, ya sea temporal o permanente.
  • Pérdidas financieras causadas por tener que restaurar sistemas y archivos, así como pérdidas causadas por el robo de información financiera confidencial (como vaciar cuentas bancarias)
  • Daño causado a la reputación de la organización.
  • Mayor infección causada por Emotet descargando o colocando otro malware en un sistema comprometido

Consejos para limitar el efecto de Emotet

Emotet es una amenaza grave, pero puedes estar seguro de que realizar acciones preventivas limita el efecto que una infección puede tener en tu organización. Recuerda: una onza de prevención vale una libra de cura.

A continuación, hay una lista de medidas preventivas que pueden detener una infección antes de que ocurra:

  • No abras ni descargues archivos adjuntos y enlaces sospechosos enviados desde fuentes desconocidas. Incluso si conoce al remitente, pero no estás seguro acerca del archivo adjunto, comunícate con el remitente y confirma si el archivo adjunto es legítimo.
  • Mantén todas las computadoras y dispositivos de punto final de la organización actualizados con las últimas actualizaciones y parches de Microsoft Windows. Algunos payloads secundarios se basan en vulnerabilidades relativamente conocidas que pueden abordarse fácilmente manteniendo actualizados los sistemas.
  • Debes implementar un fuerte programa de capacitación en ciberseguridad dentro de tu organización
  • [Opcional] Bloquear archivos adjuntos asociados con malware: .dll, .exe, etc.

Debido a la naturaleza hiperinfecciosa de Emotet, donde la reinfección siempre es posible, los sistemas Windows deben aislarse y limpiarse inmediatamente antes de que puedan unirse a una red. No se puede afirmar lo suficiente que este rasgo del malware lo convierte en uno de los peores tipos de malware que existen.

Conclusión

Emotet es un troyano bancario modular que trasciende los límites de los troyanos normales y está en su propia liga. Después de la infección, Emotet puede propagarse rápidamente a otros sistemas en la red, descargar otro malware y reinfectar un sistema comprometido después de la eliminación.

Al principio, este malware puede parecerse a otro troyano, pero si exploras debajo de la superficie, tendrás una mejor idea de su sofisticación.