Emotet vuelve con una nueva campaña después de casi tres meses de silencio

Recomendados....   » (RAEE) Tendencias y seguridad en la gestión de residuos electrónicos Webinar » ¿Cómo potenciar las estrategias de seguridad y ciber resiliencia de tu compañía? Registro

Los expertos del Security Lab de Hornetsecurity alerta del regreso de Emotet después de una larga pausa. Concretamente, han observado una nueva campaña emergente del troyano, el ual utiliza archivos muy grandes para eludir los escáneres de seguridad, que sólo analizan los primeros bytes de los archivos grandes o los omiten por completo.

Los correos electrónicos vienen con una supuesta factura, un archivo ZIP de 600 kilobytes que contiene documentos Word (.doc) de más de 500 megabytes. Cuando la víctima abre el documento de Word, éste descarga una carga maliciosa (.dll) que también supera los 500 megabytes. Esta nueva instancia está funcionando actualmente a un ritmo lento, pero el laboratorio de seguridad espera que repunte.

Los correos electrónicos de Emotet pueden parecer legítimos y, aunque sean detectados y puestos en cuarentena por los sistemas de seguridad del correo electrónico, los usuarios pueden optar por liberarlos. Ser víctima de él ayuda a una propagación aún más rápida. Por ello, es esencial que los administradores bloqueen este tipo de correos y avisen a los usuarios para que estén alerta.

Emotet (también conocido como Heodo) se observó por primera vez en 2014. Se trataba de un troyano bancario que robaba datos bancarios y credenciales de inicio de sesión de las víctimas, pero pasó a ser una operación de malware como servicio (MaaS) que proporciona servicios de distribución de malware a otros ciberdelincuentes. En la actualidad, Emotet es probablemente la operación de distribución de malware más prolífica. Para ello, roba los correos electrónicos y responde a las conversaciones anteriores de la víctima, lo que se conoce como secuestro del hilo de conversación del correo electrónico.