Centro Nacional de Respuesta a Incidentes de Seguridad Informática

Emotet es un malware troyano polimórfico, que cambia automáticamente su código cada cierto tiempo o con acciones determinadas del dispositivo, haciendo que sea más difícil para los antivirus detectar su firma.

Fue identificado por primera vez por investigadores de seguridad en 2014. Durante los últimos años ha evolucionado y cuenta con distintos módulos y versiones que lo hacen capaz de realizar múltiples acciones maliciosas, así como presentar distintos comportamientos según el equipo infectado.

Operaciones detectadas

Como método de distribución habitualmente utiliza campañas de correos de SPAM, también llamados “malspam”.

Estos correos buscan engañar a las potenciales víctimas utilizando diferentes técnicas para ocultar que se trata de un correo malicioso:

Una de estas es modificar el campo “remitente” para que se muestre un nombre de contacto conocido, cuando en realidad se trata de una casilla de correo distinta bajo el control del atacante.

Asunto: Corrección MC35449705

Fecha: Mon, 10 Aug 2020 09:21:12 -0300

De: "Usuario Apellido <usuario.apellido@dominio.com>" cuentavulnerada@otrodominio.com>

Para: maildestino@dominio.com

Otra técnica es robar cuerpos de correos existentes en la casilla de la víctima, para utilizarlos al enviar correos a otras posibles víctimas, intentando simular la existencia de una conversación previa.

Nuevos riesgos

Dentro de las nuevas incorporaciones se encuentra un módulo de “robo de archivos adjuntos” de la cuenta de correos de la víctima. Estos adjuntos son luego utilizados en nuevas cadenas de “malspam”, junto con cuerpos de correos existentes y lista de contactos de la víctima.

Si bien la utilización de adjuntos robados tiene como objetivo mejorar el engaño a nuevas víctimas, esta acción también podría generar la distribución de adjuntos con información sensible a destinatarios no autorizados provocando una potencial fuga de información.

Recomendaciones

• Alertar al personal de la organización respecto de esta amenaza, solicitándole verificar la casilla de correo del destinatario (a veces oculta bajo un nombre  y apellido conocidos), antes de enviar una respuesta o abrir algún adjunto de un correo sospechoso.
• Realizar campañas de concientización para identificar correos fraudulentos (por ejemplo, campaña Seguro Te Conectás).
• Mantener actualizados los sistemas operativos, software de ofimática y todo el software utilizado con sus últimos parches de seguridad.
• Utilizar software de antivirus con actualizaciones automáticas.
• Deshabilitar macros de terceros, abriéndolos al menos en modo “Visualización protegida”.
• Deshabilitar Windows Script Host.
• Filtrar en lo posible correos que contengan adjuntos con las siguientes extensiones: ◦ .386, .ace, .acm, .acv, .ade, .adp, .adt, .ani, .app, .arc, .arj, .a sd, .asp, .avb, .ax, .bas, .bat, .boo, .btm, .cab, .cbt, .cdr, .cer, .chm, .cla, .cmd, .cnv, .com, .cpl, .crt, .csc, .csh, .css, .dll, .dr v, .dvb, .email, .exe, .fon, .fxp, .gms, .gvb, .hlp, .ht, .hta, .htlp , .htt, .inf, .ini, .ins, .iso, .isp, .its, .jar, .job, .js, .jse, .ksh, .lib, .lnk, .maf, .mam, .maq, .mar, .mat, .mau, .mav, .maw, .mch, . mda, .mde, .mdt, .mdw, .mdz, .mht, .mhtm, .mhtml, .mpd, .m pt, .msc, .msi, .mso (exceptuando oledata.mso) , .msp, .mst, .nws, .obd, .obj, .obt, .obz, .ocx, .ops, .ovl, .ovr, .pcd, .pci, .pe rl, .pgm, .pif, .pl, .pot, .prf, .prg, .ps1, .pub, .pwz, .qpw, .reg, .sbf, .scf, .scr, .sct, .sfx, .sfx, .sh, .shb, .shs, .shtml, .shw, .smm, .svg, .sys, .td0, .tlb, .tmp, .torrent, .tsk, .tsp, .tt6, .url, .vb, .vbe, .vbs, .vbx, .vom, .vsmacro, .vss, .vst, .vsw, .vwp, .vxd, .v xe, .wbk, .wbt, .wIz, .wk, .wml, .wms, .wpc, .wpd, .ws, .wsc, . wsf,
• Catalogar como “spam” los correos que provengan de dominios no confiables (por ejemplo, listas negras).
• Habilitar la visualización de la extensión de los archivos.
• Evitar y/o restringir los permisos administrativos cuando sea posible.
• Implementar filtros antispam y reglas de detección con indicadores conocidos (ej. asuntos de correos maliciosos, nombres de adjuntos, etc.).
• Aislar los equipos infectados con el malware

Enlaces de interés

Emotet: un virus que evoluciona y obliga a tomar precauciones

El malware Emotet ahora roba los archivos adjuntos de su correo electrónico para atacar a sus contactos (BleepingComputer)

Alerta de malware Emolet (US-CERT)

Atacantes utilizan conversaciones por correo electrónico para propagar malware (MINERVA)

Recomendaciones ante nueva campaña de malware Emotet detectada (INCIBE-CERT)

Prevención y desinfección del malware Emotet (INCIBE-CERT)