ESET Research ha publicado un resumen de lo sucedido con la botnet Emotet desde su reaparición tras un desmantelamiento limitado. Emotet es una familia de malware activa desde 2014, operada por un grupo de ciberdelincuentes conocido como Mealybug o TA542. Aunque comenzó como un troyano bancario, más tarde evolucionó hasta una botnet, convirtiéndose en una de las amenazas más extendidas en todo el mundo. En enero de 2021, Emotet fue objeto de un desmantelamiento limitado como resultado de un esfuerzo de colaboración internacional de ocho países, coordinado por Eurojust y Europol. Emotet volvió a la vida en noviembre de 2021 y lanzó múltiples campañas de spam con un abrupto final en abril de 2023. En las últimas campañas de 2022-2023, la mayoría de los ataques detectados por ESET iban dirigidos a Japón (casi la mitad de ellos), Italia, España, México y Sudáfrica.
“Emotet se propaga a través de correos electrónicos de spam. Puede extraer información de ordenadores infectados y distribuir malware de terceros en ellos. Los operadores de Emotet no son muy exigentes con sus objetivos, ya que instalan sus programas maliciosos en sistemas pertenecientes tanto a particulares como a empresas y grandes organizaciones”, declara Jakub Kaloč, investigador de ESET que ha trabajado en el análisis.
A finales de 2021 y hasta mediados de 2022, Emotet se propagó principalmente a través de documentos maliciosos de MS Word y MS Excel con macros VBA incrustadas. En julio de 2022, Microsoft cambió las reglas del juego para todas las familias de malware como Emotet y Qbot -que habían utilizado correos electrónicos de phishing con documentos maliciosos como método de distribución- al desactivar las macros VBA en los documentos obtenidos de Internet.
“La desactivación (por parte de las autoridades) del principal vector de ataque de Emotet hizo que sus operadores buscaran nuevas formas de comprometer sus objetivos. Mealybug empezó a experimentar con archivos LNK y XLL maliciosos. Sin embargo, al final de 2022, los operadores de Emotet se esforzaban por encontrar un nuevo vector de ataque que fuera tan eficaz como las macros VBA. En 2023, llevaron a cabo tres campañas distintas de malspam, cada una de ellas probando una vía de intrusión y una técnica de ingeniería social ligeramente diferentes. Sin embargo, el tamaño cada vez menor de los ataques y los constantes cambios en el planteamiento pueden sugerir insatisfacción con los resultados”, añade Kaloč.
Más tarde, Emotet incrustó un señuelo en MS OneNote y, a pesar de las advertencias de que esta acción podría conducir a contenido malicioso, la gente tendía a hacer clic en él.
Tras su reaparición, recibió múltiples actualizaciones. Las características más notables fueron que la botnet cambió su esquema criptográfico e implementó múltiples ofuscaciones nuevas para proteger sus módulos. Los operadores de Emotet han invertido grandes esfuerzos en evitar la vigilancia y el rastreo de su botnet desde que regresaron. Además, implementaron múltiples módulos nuevos y mejoraron los existentes para seguir siendo rentables.
Emotet se propaga a través de correos electrónicos de spam, en los que la gente suele confiar, ya que utiliza con éxito una técnica de secuestro de hilos de correo electrónico. Antes del desmantelamiento, Emotet utilizaba módulos denominados ‘Outlook Contact Stealer’ y ‘Outlook Email Stealer’, que eran capaces de robar correos electrónicos e información de contacto de Outlook. Sin embargo, como no todo el mundo utiliza Outlook, tras la retirada, Emotet también se centró en una aplicación de correo electrónico alternativa y gratuita llamada ‘Thunderbird’. Además, empezó a utilizar el modulador Google Chrome Credit Card Steale, que roba información sobre tarjetas de crédito almacenada en el navegador Google Chrome.
Según la investigación y telemetría de ESET, las botnets Emotet han estado tranquilas desde principios de abril de 2023, muy probablemente debido al hallazgo de un nuevo vector de ataque efectivo. La mayoría de los ataques detectados por ESET desde enero de 2022 hasta hoy iban dirigidos a Japón (43%), Italia (13%), España (5%), México (5%) y Sudáfrica (4%).
Para obtener más información técnica sobre Emotet, consulta el blogpost «What’s up with Emotet – A brief summary of what happened with Emotet since its comeback» aquí. Jakub Kaloč