En enero de 2021, Genbeta se hacía eco cómo la Europol había desmantelado Emotet, "el malware más peligroso del mundo". Pero… un segundo, ¿cómo se 'desmantela' un software? Bueno, lo cierto es que Emotet, que había iniciado su andadura en 2014 como mero troyano bancario…
…se había convertido en mucho más durante esos cinco años. De hecho, en el momento de su desmantelamiento, de hecho, se había convertido en un extensa 'botnet' operada por un grupo de ciberdelincuentes conocido como TA542 o Mealybug. ¿Y qué pasó con esa botnet tras enero de 2021?
2022
La respuesta a eso es sencilla: pese a los esfuerzos de los cuerpos policiales europeos, Emotet resucitó tan sólo 10 meses más tarde, en noviembre de 2021. En esta etapa, Emotet impulsó múltiples campañas de e-mails no deseados a lo largo de 2022, atacando tanto a individuos como a empresas, grandes y pequeñas.
Sus creadores complementaron el 'producto' desarrollando, además, un módulo del malware dedicado al robo de datos de tarjetas de crédito almacenadas en el navegador Google Chrome:
Al comienzo de esta nueva etapa, Emotet se propagaba principalmente a través de documentos maliciosos de Microsoft Word y Excel que contenían macros VBA incrustadas… hasta que, en julio de 2022, Microsoft deshabilitó las macros VBA en documentos obtenidos de Internet.
Esta actualización que afectó a todas las familias de malware que utilizaban el phishing con documentos maliciosos como método de propagación… y provocó una caída significativa en el número de equipos comprometidos por Emotet.
De hecho, hacia finales de 2022 no se observó actividad significativa por parte de la botnet, y los operadores de Emotet tuvieron que buscar nuevas formas de acceder a sus objetivos: comenzaron a experimentar con archivos maliciosos LNK y XLL como nuevos vectores de ataque en sustitución de las macros VBA.
2023
En 2023, Emotet ha llevado a cabo hasta ahora tres campañas distintas de ciberestafas, cada una de ellas utilizando diferentes métodos de intrusión y técnicas de ingeniería social.
La primera campaña tuvo lugar alrededor del 8 de marzo de 2023, donde Emotet distribuyó documentos de Word enmascarados como facturas, con macros VBA maliciosas incrustadas. Aunque las macros VBA estaban deshabilitadas por defecto por Microsoft, lo que en la mayoría de los casos impidió la ejecución del código malicioso incrustado.
En la segunda campaña, que tuvo lugar entre el 13 y el 18 de marzo, los atacantes reaccionaron ante estas limitaciones y cambiaron de macros VBA a archivos OneNote (ONE) con VBScripts incrustados: a pesar de la advertencia de OneNote, las personas tienden a hacer clic en indicaciones similares por hábito, lo que permitía a los atacantes comprometer sus dispositivos.
La última campaña hasta ahora, lanzada el 20 de marzo, se aprovechó de la fecha límite del impuesto sobre la renta en Estados Unidos: los e-mails maliciosos simulaban provenir del Servicio de Impuestos Internos (IRS) y contenían un archivo adjunto llamado 'W-9 form.zip'.
El archivo ZIP incluía un documento de Word con una macro VBA maliciosa incrustada que la víctima debía habilitar específicamente, algo que muchos no habrían hecho por propia iniciativa, pero que aceptaron hacer al creer que eran indicaciones del IRS.
Sin embargo, los expertos en ciberseguridad han detectado una reducción en el tamaño de los ataques y cambios constantes en sus estrategias, lo que indica una insatisfacción de sus operadores con los resultados obtenidos.
Fuente | ESET
Imágenes | Pixabay y BleepingComputer