Emotet regresa con una campaña global que afecta a usuarios españoles

Recomendados:  Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar

Cuando la botnet Emotet disminuyó considerablemente su actividad justo después de Halloween, los investigadores de ESET sabían que se trataba de algo temporal y que no tardaríamos en verla reaparecer. Las expectativas se han cumplido, y, tal y como sucedió el año pasado, Emotet ha regresado justo a tiempo para Navidad, con una campaña global con decenas de miles de correos enviados en diferentes idiomas a usuarios de varios países, entre los que también se encuentra España. Se calcula que la campaña alcanza los 100.000 objetivos por día.

En el caso de los mensajes de correos electrónicos dirigidos tanto a España como a otros de habla hispana en América Latina, han utilizado una plantilla genérica que tan solo indica una contraseña para poder abrir un archivo adjunto. Además de esa plantilla, los investigadores también han observado otra que suplanta la identidad del banco BBVA. En este caso, en lugar de adjuntar un archivo se incluye un enlace para descargar un supuesto justificante de transferencia desde una sitio web que parece pertenecer a esta entidad bancaria, pero que en realidad apunta a un sitio web controlado por los delincuentes.

En cualquiera de los dos casos anteriores, se termina descargando un fichero que puede ser, o bien un fichero ZIP con contraseña o directamente el documento de Word en el caso de la plantilla de correo con el enlace de descarga. Al revisar el contenido de estos documentos estos contienen numerosas macros incrustadas que son las encargadas de iniciar la cadena de infección preparada por los delincuentes. En este caso, se intenta ejecutar un comando mediante PowerShell, comando que suele venir ofuscado.

En esta nueva campaña se ha desplegado de nuevo el malware Trickbot, encargado habitualmente de recopilar y robar información de aquellos sistemas que infecta. En ESET tampoco descartan que veamos de nuevo como se finaliza la cadena de infección con un ransomware, tal y como sucedía con Ryuk y Conti hace unos meses.

“El regreso de Emotet era algo esperado puesto que la realización de estas campañas periódicas forma parte de su funcionamiento. Ahora toca determinar durante cuánto tiempo estará activa esta nueva campaña y sobre todo, aplicar las medidas de seguridad necesarias para detectar y bloquear estas amenazas con la mayor efectividad posible”, afirma Josep Albors, responsable de concienciación de ESET España.