ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha alertado sobre el regreso del troyano bancario Emotet, que, disfrazado de correos lícitos que se hacen pasar por contactos de la libreta de direcciones de la víctima, está afectando a usuarios de todo el mundo, con especial incidencia en España.
Emotet no es precisamente un desconocido en el mundo de las amenazas informáticas. Activo desde 2014, se ha convertido en uno de los códigos maliciosos más destacados en su campo: el robo de credenciales bancarias. Su método de propagación preferido es el correo malicioso o malspam con ficheros o enlaces adjuntos que tratan de convencer a los usuarios para que pulsen sobre ellos o los abran. Para conseguirlo utiliza asuntos muy escuetos pero directos, como “Propuesta”, “Respuesta”, “Privacidad” o “Nueva Plantilla”, acompañados de cuerpos de mensaje breves y sin añadir información adicional. El peligro radica en el fichero adjunto en formato Word, ya que si el usuario lo abre, se iniciará la cadena de ejecución del malware que terminará instalando Emotet en el sistema y comprometiendo su seguridad.
El principal objetivo de Emotet es obtener las credenciales bancarias de la víctima, aunque a lo largo de los años ha ido evolucionando para incluir nuevos módulos que lo han convertido en un malware complejo y polimórfico. Con respecto a sus víctimas, Emotet no hace distinción y se dirige tanto a usuarios particulares como pymes, corporaciones y entidades gubernamentales. Su objetivo es recopilar la mayor cantidad posible de credenciales financieras para así conseguir sustraer elevadas cantidades de dinero desde las cuentas de sus víctimas independientemente de su procedencia.
El laboratorio de ESET comenzó a detectar nuevas muestras de este troyano a mediados de septiembre, algo de lo que ya venían alertando algunos investigadores tras observar la reactivación de varios de sus centros de mando y control (C&C) en las semanas anteriores. Este regreso de Emotet ha sido bastante potente y desde el pasado 16 de septiembre hasta el momento se ha registrado una elevada cantidad de emails con enlaces y adjuntos maliciosos pertenecientes a esta campaña. En España, el laboratorio de ESET ha observado un repunte importante desde finales de la semana pasada y, más concretamente, durante los últimos días. Cabe destacar que, una vez Emotet consigue infectar un sistema, utiliza la libreta de direcciones de correo de ese equipo para reenviarse a todos sus contactos para así tratar de conseguir nuevas víctimas.
La actual campaña de Emotet está teniendo un alcance global pero con especial relevancia en nuestro territorio en las últimas horas. Si nos fijamos en servicios como Virus Radar de ESET, podemos observar cómo desde el lunes 23 de septiembre España es el país donde más incidencia se está detectando.
Los usuarios de ESET están protegidos en todas las fases de ejecución de este malware gracias a la tecnología de protección multicapa que ofrecen las soluciones de la compañía. ESET detecta Emotet de diferentes formas dependiendo del alcance y de la fase en la que se encuentre la amenaza. En caso de que el usuario abra el documento, ESET detectará el código Powershell que ejecutan las macros maliciosas como GenScript de forma genérica. Si se detecta la descarga e intento de ejecución del downloader o dropper encargado de instalar Emotet en el sistema, ESET lo detectará como VBA/TrojanDownloader.Agent.PNO, o alguna de sus variantes. Respecto al malware en sí, ESET lo clasifica como Win32/Emotet.
Para más información sobre este ataque, se puede visitar el blog de ESET.