Estas son las nuevas técnicas de distribución de Emotet

  • Actualidad

Desde su vuelta en noviembre del año pasado, Emotet se ha convertido en el malware con mayor prevalencia en el mundo. El grupo asociado a esta botnet, TA542, utiliza nuevas técnicas de distribución en campañas a pequeña escala “antes de adoptarlas en campañas de mayor calado”, según Proofpoint.

Emotet es una red de bots y troyanos considerada como una de las ciberamenazas más prolíficas antes de su desarticulación por las fuerzas de seguridad en enero de 2021. Pero diez meses después de su desaparición, Proofpoint detectó un resurgimiento de esta botnet y, desde entonces, el grupo asociado a Emotet, TA542, ha atacado a miles de clientes creando campañas que, en algunos casos, alcanzaron más de un millón de mensajes.

En las actividades registradas recientemente, durante el mes de abril, el grupo TA542 ha empleado una serie de tácticas inusuales en la distribución de Emotet. Por ejemplo, habitualmente, Emotet distribuye campañas de gran volumen, dirigidas a múltiples objetivos a nivel global, pero ahora tiene “un bajo volumen de actividad”, según la firma de ciberseguridad.

Además, utiliza URLs de OneDrive, cuando normalmente, enviaba archivos de Microsoft Office adjuntos, o URLs (alojadas en páginas comprometidas) que enlazan a archivos de Office. Otra evolución en las técnicas es la utilización uso de ficheros XLL, ya que, por lo general, Emotet empleaba documentos de Microsoft Excel o de Word que contienen macros VBA a XL4.

Es llamativo, de acuerdo con los expertos de la firma, que TA542 se interese por nuevas técnicas que no dependan de documentos con macros, ya que Microsoft está dificultando cada vez más que los actores de amenazas utilicen las macros como vector de infección. 

En opinión de Sherrod DeGrippo, vicepresidenta de Detección e Investigación de Amenazas de Proofpoint, “es probable que este grupo de cibercriminales esté probando nuevos comportamientos a pequeña escala antes de entregarlos a las víctimas de forma más amplia, o para distribuirlos a través de nuevas TTPs junto con sus campañas existentes de gran volumen. Las organizaciones deben ser conscientes de las nuevas técnicas y asegurarse de que están implementando las defensas adecuadas".