Emotet utiliza documentos adjuntos con temática de actualizaciones aplicaciones

Con la reactivación de la botnet Emotet hace unos días tras un breve periodo de inactividad de dos semanas, hemos visto como los delincuentes han seguido innovando a la hora de utilizar nuevas plantillas con las que tratar de convencer a los usuarios que reciben estos correos para que abran los documentos maliciosos adjuntos, permitiendo así robar información de la víctima y, en última instancia, desplegar un ransomware con el que solicitar un rescate por los datos cifrados.

Adjunto con alertas de actualización

Si repasamos los asuntos de los correos utilizados por campañas anteriores de Emotet, podemos observar como han utilizado todo tipo de temas que van desde información relacionada con la COVID-19 hasta el estado de salud del presidente Donald Trump. Sin embargo, también hemos visto bastantes casos en los que los delincuentes simplemente informan de la existencia de una factura pendiente de pago, o incluso reutilizan conversaciones previas entre una víctima ya infectada y alguno de sus contactos para así resultar más convincente.

Este es el caso de los correos utilizados recientemente en una de las últimas campañas de Emotet observadas durante los últimos días, por ejemplo, en Japón (uno de los países que está entre los más impactados por esta amenaza). Suplantando la identidad de una cadena de restaurantes, los delincuentes envían un correo donde se hace referencia a un documento adjunto al mensaje.

En esta ocasión, los documentos maliciosos contienen nuevas plantillas que alertan de la necesidad de actualizar aplicaciones instaladas en el sistema o incluso la propia versión de Microsoft Word. Estos mensajes suelen generar confusión entre aquellos que abren los documentos y esto les puede llevar a bajar la guardia, algo que los delincuentes aprovechan muy bien.

Es en este punto cuando se solicita al usuario que habilite la edición del documento para poder mostrar su contenido. Este viejo truco sigue funcionando a día de hoy, y permite que las macros maliciosas que contienen estos documentos se ejecuten y comience la cadena de infección que terminará descargando y ejecutando Emotet y otro tipo de malware responsable del robo y del cifrado de la información, como Trickbot, Qbot, Ryuk o Conti.

Descarga y ejecución del malware

Como en anteriores ocasiones, la ejecución de las macros maliciosas lleva a la ejecución de un script en PowerShell ofuscado. Los delincuentes tratan así que la descarga y ejecución de los binarios maliciosos pase desapercibida, tanto para el usuario como para las posibles soluciones de seguridad instaladas.

Sin embargo, este código ofuscado puede ser identificado como malicioso cuando procede a desofuscarse, y vemos como está intentando contactar con varias URL que los delincuentes han comprometido para alojar muestras de Emotet en páginas de todo tipo. En este punto se evita que el código muestre los enlaces y los comandos clara y secuencial para tratar de seguir evitando la detección, separando los caracteres que forman las diferentes cadenas de código.

La descarga del malware se realiza desde cualquiera de las URL que estén configuradas en el script en PowerShell, descargándose un archivo ejecutable en el equipo de la víctima y ejecutándose sin su conocimiento. A partir de este punto, se sigue con la cadena de infección que, como ya hemos indicado, suele descargar primero otro malware encargado de hacer un reconocimiento de la red en la que se encuentra la víctima y robar información, y posteriormente, desplegar un ransomware que cifre los archivos de la máquina infectada.

Podemos ver un resumen de esta primera fase de ataque en el siguiente diagrama de funcionamiento, desde que se descarga el archivo adjunto (ya sea en su formato original o comprimido) hasta que se descarga y ejecuta el binario de Emotet.

Esta campaña se ha estado observando durante el pasado fin de semana en Japón, pero no sería de extrañar que, tal y como ha ocurrido en anteriores ocasiones, no tardemos en verla en otras regiones, incluida la nuestra.

Conclusión

Los cambios continuos que realizan los operadores de Emotet en los asuntos que utilizan para llamar la atención de sus víctimas, unido a una elaboración de los correos electrónicos que (aunque puede variar mucho entre una muestra y otra) permite que muchas veces pasen por legítimos, explican el éxito de esta botnet y porqué sigue activa a día de hoy.

Aprender a reconocer este tipo de adjuntos (tengan la temática que tengan) para evitar habilitar la ejecución de macros maliciosas resulta de gran ayuda para evitar la infección de nuestros sistemas. Unido a contar con una solución de seguridad efectiva y que sea capaz de reconocer y bloquear amenazas de este tipo, nos puede ahorrar más de un disgusto que podría causar graves daños a nuestra empresa en forma de robo, cifrado y filtrado de información confidencial.

Josep Albors

II National Cyberleague: participa y demuestra tu potencial