Tras meses de silencio, Emotet vuelve con una nueva campaña de malspam

Campañas maliciosas de email afectando a EE.UU, Alemania, Polonia, Italia y al Reino Unido han sido detectadas cargadas con el malware Emotet

Investigaciones han cubierto campañas de malware de Emotet afectando a negocios, instituciones gubernamentales y a usuarios individuales por todo el mundo. Después de haberse quedado quieto a principios del verano, el malware bancario a roto el silencio el 22 de Agosto cuando los servidores C2 fueron detectados activamente respondiendo a las peticiones. Este comportamiento llamó la atención de los investigadores y así es como se ha descubierto la nueva campaña.

Los ataques de malspam están principalmente usando «Asesoramiento de pago de remesas» y similares líneas de asunto. Se centran en engañar a la gente para que abran los archivos adjuntos pidiendo habilitar macros maliciosas. Esto desencadena comandos y Emotet se descarga en los sitios comprometidos. En la mayoría de los casos, estas páginas están basadas en WordPress.

La lista de páginas webs comprometidas en esta reciente campaña de malware Emotet es la siguiente:

• customernoble.com
• taxolabs.com
• www.mutlukadinlarakademisi.com
• www.holyurbanhotel.com
• www.biyunhui.com
• nautcoins.com
• keikomimura.com
• charosjewellery.co.uk
• think1.com
• broadpeakdefense.com
• lecairtravels.com.

El malware Emotet se convierte en más poderoso: afecta a decenas de miles de emails

De acuerdo con muchos reportes, el malware está afectando a casi 66.000 emails y está usando 30.000 nombres de dominios. Principalmente afectando a víctimas de Alemania y Polonia, las campañas del troyano Emotet fueron detectadas el Lunes. Tras obtener emails robados, los creadores del virus están enviando mensajes con archivos ejecutables, descargando enlaces y otros componentes maliciosos usados para enviar Emotet.

Luego, el malware actúa como un descargador para otras amenazas como el ransomware Ryuk.

From home users all the way up to government owned domains. The sender list includes the same dispersion as the targets. Many times we’ve seen precise targeting using a sender who’s contact list appears to have been scraped and used as the target list for that sender. This would include b2b as well as gov to gov.

Emotet era primero un ataque bancario y luego, fue reescrito para funcionar como cargador de malware. El troyano es uno de los botnets más antiguos y este regreso era esperado. Sin embargo, la actividad en los servidores, que fue detectada en Agosto, resultó en un restablecimiento total de las comunicaciones con los bots infectados y maximizando el tamaño de la botnet.

Diferentes comandos para víctimas de diferentes partes del mundo

La notificación email en sí misma, como es usual en las campañas de malspam, contienen títulos con temática financiera y parecen ser continuos emails de previas conversaciones. Como es obvio en las campañas de Polonia y Alemania, el remitente está usando uno de los siguientes escenarios:

• alertas sobre cambios en la dirección email
• información sobre las facturas
• declaración de que había problemas con facturas

Todos estos escenarios son usados para convencer al recibidor de abrir el documento adjunto y habilitar el código macro malicioso.

Tras ser analizado más profundamente, la campaña de malware reveló que la particular variante Emotet está enviando archivos adjuntos que contienen tanto una alerta de Microsoft Office que habla sobre el acuerdo de licencia o bien una alerta de que la copia de Word usada por la víctima no funcionará tras el 20 de Septiembre. Tácticas como estas ayudan a engañar a la gente para que habiliten las macros y permitan instalar Emotet en el ordenador.

Para las víctimas italianas, el email contiene un título como «Numero Fattura 2019…». Tras ser habilitadas las macros, ejecutan un comando PowerShell que está usando una URL hackeada y que es el lugar donde la carga maliciosa está colocada. El botnet está listo para atacar a los negocios, por lo que las organizaciones deberían ser conscientes de que Emotet ha vuelto a la acción.