La operación de malware Emotet ha continuado refinando sus tácticas en un esfuerzo por volar bajo el radar, al tiempo que actúa como un conducto para otro malware peligroso como Bumblebee e IcedID.
Emotet, que resurgió oficialmente a fines de 2021 luego de un desmantelamiento coordinado de su infraestructura por parte de las autoridades a principios de ese año, ha seguido siendo una amenaza persistente que se distribuye a través de correos electrónicos de phishing.
Atribuido a un grupo de ciberdelincuencia rastreado como TA542 (también conocido como Gold Crestwood o Mummy Spider), el virus ha evolucionado de un troyano bancario a un distribuidor de malware desde su primera aparición en 2014.
El malware como servicio (MaaS) también es modular, capaz de desplegar una serie de componentes propietarios y gratuitos que pueden filtrar información confidencial de máquinas comprometidas y llevar a cabo otras actividades posteriores a la explotación.
Dos de las últimas incorporaciones al arsenal de módulos de Emotet comprenden un esparcidor SMB que está diseñado para facilitar el movimiento lateral utilizando una lista de nombres de usuario y contraseñas codificados, y un ladrón de tarjetas de crédito que apunta al navegador web Chrome.
Las campañas recientes que involucran a la botnet han aprovechado los señuelos genéricos con archivos adjuntos armados para iniciar la cadena de ataque. Pero con las macros convirtiéndose en un método obsoleto de distribución de carga útil e infección inicial, los ataques se han aferrado a otros enfoques para colar a Emotet más allá de las herramientas de detección de malware.
“Con la nueva ola de correos electrónicos no deseados de Emotet, los archivos .XLS adjuntos tienen un nuevo método para engañar a los usuarios para que permitan que las macros descarguen el cuentagotas”, reveló BlackBerry en un informe publicado la semana pasada. “Además de esto, las nuevas variantes de Emotet ahora se han movido de 32 bits a 64 bits, como otro método para evadir la detección”.
El método consiste en instruir a las víctimas para mover los archivos señuelo de Microsoft Excel a la carpeta predeterminada de plantillas de Office en Windows, una ubicación en la que confía el sistema operativo, para ejecutar macros maliciosas incrustadas dentro de los documentos para entregar Emotet.
Dicho de otra manera, el giro de la ingeniería social permite eludir las protecciones de la Marca de la Web (MotW), que cargan los archivos de Office descargados de Internet en Vista protegida, un modo de solo lectura con macros y otro contenido deshabilitado.
El desarrollo apunta a los intentos constantes de Emotet de reorganizarse y propagar otro malware, como Bumblebee e IcedID.
“Con su evolución constante en los últimos ocho años, Emotet ha seguido siendo más sofisticado en términos de tácticas de evasión; ha agregado módulos adicionales en un esfuerzo por propagarse aún más, y ahora está propagando malware a través de campañas de phishing”, dijo la firma canadiense de ciberseguridad.
