Emotet Malware

Emotet apareció por primera vez como un troyano bancario en 2014. El ataque tenía como objetivo interceptar los datos de acceso de los clientes de bancos alemanes y austríacos. Mientras tanto, Emotet fue capaz de recargar y ejecutar una gran variedad de otros módulos con otras funciones maliciosas.

Emotet es un malware troyano polimórfico (cambia automáticamente su código cada cierto tiempo o con acciones determinadas del dispositivo), haciendo que sea más difícil para los antivirus detectar su firma. Anteriormente este malware se consideraba del tipo bancario debido a su comportamiento, hoy en día está integrado con varias funciones maliciosas debido a que consta de varios módulos que descarga de su servidor C&C (comando y control):​

• Módulo de spam.

• Módulo de gusano de red.

• Módulo para la visualizar la contraseña del correo electrónico.

• Módulo para visualizar las contraseñas del navegador web.

Este malware en sus principios, cuando era considerado un malware bancario, obtenía información financiera usando métodos de sniffing y algunas de sus variantes usaban distintos tipos de payloads como, por ejemplo, inyectando código en la pila de red de un ordenador infectado,​permitiendo que información sensible sea robada por medio de transmisión de datos.​ El malware Emotet de igual manera se auto inserta en los módulos del software los cuales le permiten robar datos de direcciones de teléfono y realizar ataques DOS (denial of service attacks) en otros sistemas.​

Emotet ha evolucionado en su manera de esparcirse. El modo más destacado que usa es por medio de una botnet de spam, adjuntado documentos maliciosos o URL links en el cuerpo de un correo electrónico, a veces disfrazado como factura o PDF adjunto, así que cuando el usuario da clic al archivo se descarga un documento con una macro que por medio de powershell descarga el malware Emotet. Las versiones de hoy en día integran un módulo que se aprovecha de ataques de fuerza bruta con diccionario.

Su primera aparición fue en Alemania, Austria, y Suiza en el año 2014, rápidamente siguió con Estados Unidos esparciéndose no necesariamente a través de las maneras descritas anteriormente. Las infecciones del malware más bien se dieron a través de código malicioso JavaScript (.JS); cuando el código javascript malicioso es ejecutado le da la capacidad al malware Emotet de infectar al actual dispositivo anfitrión.​

Una vez que Emotet ha infectado a un dispositivo, tiene la capacidad de interceptar, registrar, y guardar todo el tráfico de red saliente del navegador web, dejando que información sensible de la víctima sea guardada por el malware para acceder a su(s) cuenta(s) de banco, o hasta convertir el sistema anfitrión en parte de la botnet para esparcir malware.​

Emotet es miembro de la familia de malware troyano Feodo. Cuando este malware es ejecutado en un entorno virtual(máquina virtual) cambia su manera de comportarse con el objetivo de engañar a los investigadores del malware en cuestión

El malware Emotet ataca principalmente a través de correos electrónicos no deseados y afecta a los usuarios privados, así como a empresas, hospitales, instituciones gubernamentales e infraestructuras críticas.

Adapta y automatiza los métodos de ataques de amenazas persistentes avanzadas altamente profesionales. Los hackers tienen objetivos muy claros y son capaces de infectar un sistema durante mucho tiempo. Por ello, Emotet no es fácil de identificar e interceptar.

Un aspecto  que hace que Emotet sea particularmente peligroso: desde finales de 2018, el malware ha sido capaz de analizar los contactos y el contenido de correos de los buzones de los sistemas infectados utilizando la llamada “Outlook Harvesting” con el fin de lanzar más ataques sobre esta base. La propagación es extremadamente rápida. Otros destinatarios recibirán correos electrónicos verdaderos de personas con las que estuvieron recientemente en contacto.

Los archivos adjuntos malintencionados o las direcciones URL contenidas en el mensaje se abren sin cuidado. Además de este módulo de spam, Emotet también puede cargar un módulo de gusano, lo que le permite propagarse de forma independiente en la red de la empresa. Esto hace que se propague a otros equipos sin necesidad de que los usuarios hagan clic y activen un archivo adjunto.

En este contexto, Emotet también lleva a cabo ataques de fuerza bruta con el objetivo de hackear contraseñas. Esto puede tener graves consecuencias. Una vez que el equipo está infectado, Emotet descarga malware adicional a través de servidores C&C, dependiendo del objetivo. Existe el riesgo de robo de datos, pérdida de control sobre los sistemas, fallo de toda la infraestructura de TI y restricciones en los procesos empresariales críticos.  En casos extremos, las redes de toda una empresa deben reconstruirse después de la infección.  Los daños a menudo equivalen a millones en pérdidas.

Entradas relacionadas

Dejar un Comentario