Los ciberdelincuentes, que están detrás del troyano bancario Emotet, usan diversos trucos para burlar los filtros antivirus y propagar el malware a aún más sistemas. Estos trucos van: desde el secuestro de hilo de correos, a los cambios en Webshells, hasta la actualización del cargador de Emotet, lo que llevó a un gran aumento de las descargas de malware. Ahora Emotet está enviando de nuevo archivos adjuntos cifrados a través de su malspam (malware + spam) para expandir aún más su red de botnets.

Desde septiembre, el Security Lab de Hornetsecurity ha observado un aumento significativo en el malware de Emotet, que nuevamente envía archivos cifrados. La contraseña para descifrar el archivo, se incluye como texto plano en la carta de presentación del correo electrónico. Al cifrar el archivo adjunto, los programas antivirus convencionales no son capaces de detectar y bloquear el malware oculto. Sin embargo, la víctima puede descifrar, abrir y ejecutar el archivo, lo que eventualmente recarga el malware.

Ejemplo de archivo adjunto cifrado
Ejemplo de archivo adjunto cifrado

Pero este método no es nuevo: ya en abril de 2019, los analistas de seguridad descubrieron las primeras oleadas del malspam de Emotet, usando archivos zip cifrados. Desde entonces, tales olas de spam han ido apareciendo de vez en cuando a lo largo del año y duran unos pocos días. El grupo de white hats «Cryptolaemus» llama a esta acción de los actores detrás de Emotet operación: «Zip Lock». El equipo de más de 20 investigadores de seguridad y administradores de sistemas se ha fijado el objetivo de frenar la propagación del «malware más peligroso del mundo». Cada día, el grupo publica todas las actualizaciones de Emotet en su página web y en su cuenta de Twitter. Su objetivo es permitir que, los administradores de sistemas y redes, introduzcan en sus filtros de seguridad los llamados: Indicadores de Compromiso (IOCs), las direcciones IP de los servidores de comando de Emotet, las líneas de asunto y los hashes de archivos infectados por Emotet, para protegerse de posibles infecciones por Emotet.

La actual ola de malspam con archivos cifrados ha estado activa desde al menos el 1 de septiembre y fue dirigida por primera vez al mundo de habla japonesa.

Bsp Email JP Emotet

Finalmente, el Security Lab de Hornetsecurity registró olas de spam en español, inglés y alemán a partir del 14 de septiembre.

Distribución de Malspam Emotet en todo el mundo HSE

Para aumentar aún más las posibilidades de que su víctima abra realmente el correo electrónico malicioso, y active el archivo adjunto una vez llegue a su bandeja de entrada, los ciberdelincuentes también utilizan la técnica de «secuestro de hilo de conversación de correo electrónico». Al hacerlo, se utilizan los hilos de conversación del correo electrónico de la víctima para parecer más «auténticos». Es entonces, cuando los atacantes responden a las conversaciones existentes que su objetivo todavía tiene almacenadas en el buzón.

Una tendencia popular de la ciberdelincuencia

En general, el método de ciberataque  por correo electrónico –  con archivos adjuntos codificados – es bastante popular entre los grupos de ciberdelincuentes. Los analistas de seguridad de Hornetsecurity descubrieron documentos de Office cifrados en las campañas de malware de GandCrab, y el malware Ursnif también se está propagando a través de archivos zip cifrados.

Bsp Email GandCrab

¿Cómo puedo protegerme de esto?

Los archivos cifrados de Emotet, aún no son detectados por los programas antivirus convencionales, como demuestra el servicio de escaneo de malware VirusTotal.

VirusTotal Emotet detección de cero de los adjuntos

La técnica del secuestro de hilos de conversaciones de correo electrónico también contribuye al «éxito» de los ciberdelincuentes, pues es casi imposible que los destinatarios detecten ese tipo de ciberataque, ya que los correos electrónicos maliciosos se envían desde una cuenta legítima pero comprometida.

Sin embargo, filtros más avanzados y mecanismos de seguridad inteligentes son capaces de detectar ambas técnicas de ciberataque y mantenerlas alejadas del buzón del destinatario. Las acciones de los ciberdelincuentes que están detrás de Emotet, dejan claro que es hora de que las empresas den el siguiente paso en temas de ciberseguridad. Después de todo, los ciberataques exitosos continúan impulsando las ambiciones de los hackers y traen más cibercriminales a escena.

Más información:

  • Hornetsecuritys Advanced Threat Protection puede analizar e identificar estos archivos adjuntos encriptados gracias a la función de desencriptación de documentos maliciosos.