Análisis de amenazas

Sí, Emotet sigue siendo una amenaza de malware activo

David Strom, 30 julio 2020

Emotet ha vuelto a aparecer, y esta vez, hay más en la historia.

Una de las cepas de malware más letales y de más larga duración ha vuelto a aparecer en escena. Llamado Emotet, comenzó su vida como un simple troyano bancario cuando fue creado en 2014 por un grupo de piratas informáticos que lleva varios nombres, incluidos TA542, Mealybug y MUMMY SPIDER.

Los investigadores han rastreado su historia, como esta línea de tiempo (en inglés) de Proofpoint: 

Crédito: Proofpoint 
 
Como puede ver, ha pasado por numerosas mejoras y mejoras. Para 2017, sus creadores habían expandido sus ataques para entregar varios troyanos bancarios (incluidos Qakbot y TrickBot) y robar contraseñas almacenadas en el navegador. Las PC comprometidas serían reclutadas para ayudar a formar una red de bots que luego se usaría para lanzar ataques de phishing adicionales . Un informe de Bromium emitido en junio de 2019 (sitio en inglés) siguió su evolución hasta ese momento. El informe documenta cómo los propietarios u operadores de Emotet han cambiado su estrategia de robar datos masivos a vender su malware como un servicio para que otros ejerzan su comercio.

Lo que hizo interesante a Emotet fueron sus métodos de ofuscación bien diseñados. Fue una de las primeras muestras de malware que implementó código polimórfico (sitio en inglés) para variar su tamaño y archivos adjuntos, lo que significa que cambiaría su forma y procedimientos para tratar de evadir la detección. También usó procedimientos de instalación de múltiples estados y canales de comunicaciones encriptados. A lo largo de los años, ha tenido algunos señuelos muy inteligentes, como el envío de correos electrónicos no deseados que contienen una URL o un archivo adjunto, y pretende enviar un documento en respuesta a los hilos de correo electrónico existentes. X-Force de IBM encontró una variación que usa el virus COVID-19 como parte de su señuelo de phishing.

Con el tiempo, Emotet se ha expandido para abarcar tres infraestructuras diferentes de botnets, nuevamente para que sea más difícil de repeler. Y para hacer que sus señuelos de phishing sean más creíbles, traducirían los temas de sus mensajes, nombres de archivos y contenidos para que coincidan con los países de destino de sus objetivos, produciendo no solo versiones en inglés, sino también en alemán, chino y español. A principios de este año, los investigadores descubrieron un nuevo módulo (sitio en inglés) que permite al malware encontrar contraseñas abiertas (o fácilmente adivinadas) de redes WiFi cercanas para infectar. (Ver diagrama a continuación).

Crédito: Defensa binaria 

Cubrimos Emotet más recientemente a fines de 2018 . Ahora, parece estar nuevamente en uso. A principios de este año, tuvo una duración de cinco días que entregó casi dos millones de correos electrónicos de phishing. Y en julio, se observó otra variación enviando al menos 250,000 señuelos de phishing, principalmente dirigidos a usuarios de EE. UU. Y el Reino Unido. Malwarebytes tiene muestras (sitio en inglés) de los correos electrónicos utilizados y más detalles de su funcionamiento. Parece estar usando una nueva plantilla de Word para su archivo adjunto infectado, pero no mucho más. 

El surgimiento de la defensa organizada.

Dada su larga historia, a medida que avanzan las familias de malware, no es sorprendente que los defensores se hayan unido para tratar de detener su propagación. Los primeros esfuerzos de este grupo de aproximadamente dos docenas de hackers de sombrero blanco se llamaron a sí mismos Cryptolaemus. El grupo está compuesto por investigadores de seguridad de proveedores competidores junto con profesionales de TI y otros buscadores de malware. Tienen reuniones virtuales regulares en Slack, canales de Telegram para asignar tareas específicas y compartir las mejores prácticas. Este esfuerzo surgió de una experiencia triste, cuando un miembro fue atacado por el malware hace tres años (sitio en inglés).

Publican avisos diarios de cientos de direcciones IP del servidor de comandos de Emotet, líneas de asunto típicas de phishing y hashes de archivos en su sitio web . (Su nombre proviene de una especie de escarabajo que come cochinillas, que es uno de los nombres del grupo de desarrollo de Emotet). Las publicaciones diarias también incluyen notas informativas al final y otra información útil para los cazadores de virus. Desplazarse hacia abajo por este volcado de datos muestra que Emotet todavía está muy vivo y en vigor. "Hemos visto a los creadores de Emotet cambiar de táctica a los pocos minutos de publicar nuestros informes", dijo un miembro.

Sin embargo, como si eso no fuera suficiente, se ha descubierto (sitio en inglés) un nuevo vigilante . Este individuo ha estado envenenando aproximadamente una cuarta parte de los archivos descargados de Emotet con GIF animados inofensivos de celebridades. Esto evita que el malware infecte los puntos finales y se vio por primera vez a finales de julio. La publicación de ZDnet vinculada anteriormente lo guía a través de cómo el vigilante pudo modificar el malware Emotet y realizar la sustitución. La identidad del vigilante sigue siendo desconocida, aunque algunos investigadores han especulado que podría ser un grupo de malware rival.

Lo que puedes hacer para protegerte

Por ahora, la mayoría de los productos populares de protección de endpoints pueden reconocer y bloquear Emotet, incluidas las herramientas antivirus de Avast. Eso no significa que los desarrolladores de Emotet no estén trabajando duro para encontrar una forma de evitar esto: si examinas la historia de Emotet, puedes detectar su evolución al tratar de permanecer oculto.

La CISA de EE. UU. Emitió una alerta en enero de 2020 (sitio en inglés) que describe varias tácticas que se pueden usar para tratar de evitar su malvada intención. Esto incluye agregar objetos de directiva de grupo yreglas de firewall para bloquearlo junto con una segmentación de red adecuada y usar tecnologías de autenticación de correo como DMARC y SPF en sus dominios corporativos. Dado el último desarrollo de la búsqueda de puntos de acceso WiFi cercanos, debes asegurarte de haber cambiado los valores predeterminados en tus propias redes inalámbricas y utilizar contraseñas lo suficientemente complejas. También ayuda si puedes deshabilitar Word y otras macros de Office para que se ejecuten automáticamente desde archivos adjuntos de correo electrónico, que es un truco de malware común no exclusivo de Emotet. Puedes abrir estos documentos de forma segura en Google Docs como alternativa.