{"id":906,"date":"2019-09-30T16:35:25","date_gmt":"2019-09-30T14:35:25","guid":{"rendered":"https:\/\/www.semsin.es\/web\/?p=906"},"modified":"2019-09-30T16:52:16","modified_gmt":"2019-09-30T14:52:16","slug":"campana-del-troyano-bancario-emotet-tambien-afecta-a-usuarios-espanoles","status":"publish","type":"post","link":"https:\/\/www.semsin.es\/web\/campana-del-troyano-bancario-emotet-tambien-afecta-a-usuarios-espanoles\/","title":{"rendered":"CAMPA\u00d1A DEL TROYANO BANCARIO EMOTET TAMBI\u00c9N AFECTA A USUARIOS ESPA\u00d1OLES"},"content":{"rendered":"
\n
<\/div>\n

 <\/p>\n<\/header>\n

Tras unos meses de verano durante los cuales los delincuentes detr\u00e1s del infame troyano bancario Emotet parec\u00eda que se hab\u00edan tomado un descanso, ahora regresan con m\u00e1s fuerza con campa\u00f1as afectando a varias regiones del mundo. Un ejemplo claro lo tenemos en la elevada cantidad de correos que, desde hace unos d\u00edas y, con m\u00e1s intensidad, en las \u00faltimas horas est\u00e1n recibiendo usuarios espa\u00f1oles de remitentes aparentemente confiables y que adjuntan un documento Word.<\/p>\n

Emotet: descripci\u00f3n y evoluci\u00f3n<\/strong><\/p>\n

Emotet no es precisamente un desconocido en el mundo de las amenazas inform\u00e1ticas.\u00a0Activo desde 2014\u00a0estamos ante un troyano bancario que ha sufrido numerosas revisiones desde entonces y que lo han convertido en uno de los c\u00f3digos maliciosos m\u00e1s destacados en su campo: el robo de credenciales bancarias. Su m\u00e9todo de propagaci\u00f3n preferido es el correo malicioso o malspam con ficheros o enlaces adjuntos que tratan de convencer a los usuarios para que pulsen sobre ellos o los abran.<\/p>\n

Para conseguirlo utiliza asuntos muy escuetos pero directos, tales como \u201cPropuesta\u201d, \u201cRespuesta\u201d o \u201cNueva Plantilla\u201d, acompa\u00f1ados de cuerpos de mensaje breves y sin a\u00f1adir informaci\u00f3n adicional. El peligro radica en el enlace incluido o fichero adjunto, ya que si el usuario pulsa o los abre, se iniciar\u00e1 la cadena de ejecuci\u00f3n del malware que terminar\u00e1 instalando Emotet en el sistema y comprometiendo su seguridad.<\/p>\n

El principal objetivo de Emotet son las credenciales bancarias, aunque a lo largo de los a\u00f1os ha ido evolucionando para incluir nuevos m\u00f3dulos que lo han convertido en un malware complejo y polim\u00f3rfico. Esto le permite mejorar su capacidad de permanecer oculto, aumentar sus posibilidades de propagaci\u00f3n o instalar otras variantes de malware. No obstante, tal y como veremos m\u00e1s adelante, hay medidas de seguridad que permiten detectarlo a tiempo antes de que logre infectar el sistema.<\/p>\n

Con respecto a sus v\u00edctimas, Emotet no hace distinci\u00f3n y se dirige tanto a usuarios particulares como pymes, corporaciones y entidades gubernamentales. Su objetivo es recopilar la mayor cantidad posible de credenciales financieras para as\u00ed conseguir sustraer elevadas cantidades dinero desde las cuentas de sus v\u00edctimas y a sus creadores no parece importarles de donde venga ese dinero.<\/p>\n

Reactivaci\u00f3n y vector de ataque<\/strong><\/p>\n

A mediados de septiembre se comenzaron a detectar nuevas muestras de este troyano, algo de lo que ya ven\u00edan alertando algunos investigadores tras observar la reactivaci\u00f3n de alguno de sus centros de mando y control (C&C) en las semanas anteriores. Este regreso de Emotet ha sido bastante potente y, desde el pasado 16 de septiembre hasta el momento se han registrado una elevada cantidad de emails con enlaces y adjuntos maliciosos pertenecientes a esta campa\u00f1a.<\/p>\n

En Espa\u00f1a hemos observado un repunte importante desde finales de la semana pasada y, m\u00e1s concretamente, durante los \u00faltimos dos d\u00edas. Cabe destacar que, una vez Emotet consigue infectar un sistema, utiliza la libreta de direcciones de correo de ese equipo para reenviarse a todos sus contactos para as\u00ed tratar de conseguir nuevas v\u00edctimas.<\/p>\n

\"\"
Ejemplo de correo usado en la campa\u00f1a de Emotet en Espa\u00f1a<\/figcaption><\/figure>\n

En los correos recibidos en las \u00faltimas horas se pueden observar varios puntos importantes para identificarlos como maliciosos. Uno de ellos es que no aparece un remitente sino dos. El primero es el que suplanta el malware para hacernos creer que el correo viene remitido por alguien de confianza. Por su parte, el segundo remitente que se puede observar en el campo \u201cDe:\u201d o en el Return Path de la cabecera del correo pertenece al dominio comprometido por los atacantes y usado para realizar el env\u00edo masivo de correos.<\/p>\n

Este punto es importante ya que, si el usuario se fija en \u00e9l, puede ser capaz de detectar estos correos como fraudulentos y eliminarlos antes de que se conviertan en una amenaza para la seguridad del sistema. Adjunto al correo observamos un archivo de Word que puede tener varios nombres como \u201cARCHIVOFile_H3981.doc\u201d, \u201cMENSAJE_092019.doc\u201d, \u201c985832-2019-7-84938.doc\u201d o \u201c61.doc\u201d entre muchos otros.<\/p>\n

Fases del ataque<\/strong><\/p>\n

Si el usuario que recibe este correo hace caso omiso a los indicios que le muestran que se encuentra ante una amenaza y abre el fichero adjunto veremos como se utiliza una t\u00e9cnica bastante conocida para conseguir ejecutar c\u00f3digo malicioso. Aparentemente, se muestra un documento leg\u00edtimo pero con un aviso donde se indica que el archivo se encuentra en un modo de vista protegida y que, para poder ver su contenido, hace falta pulsar sobre la barra amarilla que se muestra en la parte superior con la opci\u00f3n de \u201cHabilitar edici\u00f3n\u201d.<\/p>\n

\"\"
Documento usado como cebo informando al usuario de la necesidad de habilitar la edici\u00f3n<\/figcaption><\/figure>\n

Este aviso que contiene el documento no es m\u00e1s que una imagen, incluida por los delincuentes incluyen para tratar que el usuario desactive de forma voluntaria una de las medidas de seguridad m\u00e1s efectivas de las que dispone Microsoft Office y que impide la ejecuci\u00f3n autom\u00e1tica de c\u00f3digo mediante macros.<\/p>\n

El archivo malicioso descargado activa la tercera fase del ataque y act\u00faa como dropper o descargador del archivo que contiene el troyano. Este troyano tambi\u00e9n est\u00e1 alojado en dominios comprometidos que los delincuentes van cambiando continuamente, as\u00ed como tambi\u00e9n cambia el ejecutable del Emotet para dificultar su detecci\u00f3n. Se puede obtener una lista detallada de los dominios comprometidos y los C&C gracias a la cuenta de Twitter de\u00a0Cryptolaemus<\/a>.<\/p>\n

Cuando Emotet es descargado y ejecutado finalmente en el sistema se quedar\u00e1 a la espera para robar credenciales bancarias, aunque tambi\u00e9n aprovechar\u00e1 para obtener nuevas direcciones de correo a las que propagarse y, dependiendo de la campa\u00f1a, instalar otro malware en el equipo.<\/p>\n

Impacto en Espa\u00f1a y detecci\u00f3n de la amenaza<\/strong><\/p>\n

Tal y como hemos indicado anteriormente, estamos ante una campa\u00f1a de alcance global pero que ha tenido especial relevancia en nuestro territorio en las \u00faltimas horas. Si nos fijamos en servicios como\u00a0Virus Radar<\/a>\u00a0de ESET, podemos observar como, desde el lunes 23 de septiembre, Espa\u00f1a es el pa\u00eds donde m\u00e1s detecciones se est\u00e1n detectando tanto del c\u00f3digo PowerShell malicioso como del dropper que termina descargando Emotet.<\/p>\n

\"\"<\/figure>\n

Estos datos son muy interesante e importantes para medir el nivel de detecci\u00f3n y bloqueo de esta amenaza, ya que nos indican que se est\u00e1 bloqueando en las\u00a0 fases previas a la descarga del malware en s\u00ed. Ante algunas preguntas que hemos recibido a trav\u00e9s de nuestro servicio de soporte, conviene aclarar algunos puntos para comprender como se detectan y bloquean este tipo de amenazas.<\/p>\n

Antes de nada, hay que tener en cuenta que, la recepci\u00f3n de este correo y la descarga del Word que adjunta no suponen que el equipo est\u00e9 comprometido, ya que aun no se ha ejecutado nada. Incluso la apertura del documento puede resultar inocua si tenemos la opci\u00f3n de ejecutar macros desactivada, tal y como suele venir por defecto<\/strong>.<\/p>\n

En esta primera fase, la detecci\u00f3n del documento adjunto malicioso por parte de las soluciones de seguridad suele hacerse por firmas o heur\u00edstica, tanto en las estaciones de trabajo como en los servidores de correo si estos est\u00e1n presentes. Actualmente suele ser el m\u00e9todo menos efectivo puesto que la actualizaci\u00f3n de las bases de firmas o del motor heur\u00edstico suele llevar alg\u00fan tiempo, pero eso no significa que estemos desprotegidos. Debido a que el documento contiene macros y estas contienen c\u00f3digo malicioso es posible detectarlo incluso antes de abrirlo (dependiendo de su nivel de ofuscaci\u00f3n). Se estar\u00eda detectando el c\u00f3digo malicioso en su segunda fase gracias a capas de seguridad como el an\u00e1lisis de comportamiento o las detecciones avanzadas de c\u00f3digo malicioso.<\/p>\n

\"\"
Detecci\u00f3n del malware en el adjunto del correo<\/em><\/figcaption><\/figure>\n

En el caso de que la soluci\u00f3n antivirus no hubiese detectado nada hasta este punto y se ejecutase la tercera fase del ataque, con la descarga del dropper desde uno de los sitios comprometidos, se podr\u00eda detectar esta amenaza por alguna de las capas ya mencionadas o por el an\u00e1lisis avanzado de la memoria. Este an\u00e1lisis permite detectar un c\u00f3digo malicioso cuando intenta ejecutarse volc\u00e1ndose en la memoria del sistema y permite detectarlo y eliminarlo antes de que consiga comprometer el sistema.<\/p>\n

El mismo principio se aplicar\u00eda en el caso de que el malware lograse descargar Emotet en el sistema, a\u00f1adiendo adem\u00e1s la posibilidad de ejecutar el archivo malicioso en una sandbox aislada que permitiera ejecutar de forma controlada el malware y confirmar sus objetivos maliciosos para proceder a su eliminaci\u00f3n.<\/p>\n

Estas son solo algunas de las\u00a0capas de seguridad\u00a0que incluyen las soluciones avanzadas y que dificultan la tarea a los delincuentes detr\u00e1s de campa\u00f1as como esta.<\/p>\n

Conclusi\u00f3n<\/strong><\/p>\n

No cabe duda de que Emotet ha vuelto con fuerza y debemos estar atentos ante esta y futuras campa\u00f1as que vendr\u00e1n. Contar con una soluci\u00f3n de seguridad avanzada capaz de detectar este tipo de amenazas nos ayudar\u00e1 a estar protegidos pero no debemos olvidar que, como usuarios, tambi\u00e9n podemos ayudar a detectar, eliminar y evitar que se propague. Tan solo debemos estar atentos ante correos sospechosos y no pulsar de forma indiscriminada ante el primer enlace o adjunto que nos encontremos en nuestra bandeja de entrada.<\/p>\n

V\u00eda:\u00a0https:\/\/blogs.protegerse.com<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

  Tras unos meses de verano durante los cuales los delincuentes detr\u00e1s del infame troyano bancario Emotet parec\u00eda que se hab\u00edan tomado un descanso, ahora…<\/p>\n

Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":1,"featured_media":909,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false},"categories":[44,43,1],"tags":[77,104,46,105],"_links":{"self":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts\/906"}],"collection":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/comments?post=906"}],"version-history":[{"count":0,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts\/906\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/media\/909"}],"wp:attachment":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/media?parent=906"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/categories?post=906"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/tags?post=906"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}