ESET analiza Emotet al advertir un crecimiento constante en su actividad, distribuyendo amenazas que afectaron a organismos gubernamentales en distintos países, como el Departamento de Justicia de Quebec en Canadá, así como compañías del sector privado a nivel global. Durante los últimos siete meses varios sitios en América Latina fueron comprometidos por Emotet, siendo los países más afectados Chile, Argentina, Brasil, México, Colombia, y Ecuador.

Este malware, que hizo su primera aparición en 2014, ha ido cambiando desde sus inicios como un troyano bancario hasta convertirse en un malware modular muy utilizado para descargar otros códigos maliciosos en los equipos de las víctimas.

Emotet compromete sitios que son utilizados para la descarga de malware en el equipo de sus víctimas y también como servidores de C&C. De acuerdo con la información recolectada por las herramientas de ESET, se detectó que durante los últimos siete meses varios sitios en América Latina fueron comprometidos por Emotet, siendo los países más afectados Argentina, Brasil, México, Colombia, Chile y Ecuador.

Países con más sitios comprometidos por Emotet en Latinoamérica entre abril y octubre de 2020.

ESET analizó particularmente los últimos tres meses donde detectó que, en la mayoría de los países mencionados, la actividad de Emotet ha ido incrementando.

Detecciones de Emotet en América Latina durante los últimos 3 meses.

Emotet se distribuye principalmente a través de correos de phishing que incluyen un archivo adjunto. Este puede ser un documento de Word (.doc) o PDF, o un archivo comprimido (.zip), entre otros. Las campañas de phishing han ido variando. Por ejemplo, se han detectado campañas maliciosas relacionadas con el COVID-19, suplantando la identidad de bancos, así como también haciendo referencia nuevas funcionalidades para servicios donde los pasos a seguir se encuentran en el documento malicioso.

Ejemplo de correo de phishing que suplanta la identidad de una entidad financiera y distribuye Emotet.

Últimamente se ha registrado con mayor frecuencia campañas en las cuales se despliegan mensajes que simulan ser de Windows y que hacen referencia a una actualización o informan que el documento se creó con una versión anterior de un software del paquete Office. En cualquiera de los dos casos, el usuario tiene que habilitar el contenido del documento para poder visualizarlo.

Documento que contiene Emotet en las macros.

Los malware distribuidos por Emotet, tienen la capacidad de realizar acciones como:

1. Obtener de información de equipos como sistemas operativos, programas instalados, nombres de usuarios, nombres de dominio, etc.
2. Robar de credenciales en navegadores de internet.
3. Robar de credenciales del cliente Outlook.
4. Instalar otro tipo de malware, como el ransomware Ryuk o Conti.
5. Robar contraseñas, emails, entre otro tipo de información.
6. Permitir la conexión a la máquina de la víctima para poder realizar transacciones bancarias desde su dirección de IP.
7. Utilizar cadenas de email de la víctima y usarlos para propagar mensajes para infectar máquinas de otros usuarios.

“Toda esta información sumada al análisis de distintas muestras nos permite llegar a la conclusión de que Emotet es un malware que ha ido cambiando a lo largo del tiempo, ya sea en los archivos adjuntos que utiliza como parte de sus campañas de phishing, así como también en su lógica”, comentó Camilo Gutiérrez Amaya, el Jefe del Laboratorio de ESET Latinoamérica.

“A pesar de su importante actividad en los últimos años, también ha sufrido intentos de disrupción para evitar su propagación. ESET colaboró en conjunto con Microsoft y otras empresas, en un intento de disrupción de las botnets de Trickbot durante octubre, contribuyendo con análisis técnicos, entre otras cosas, sobre más de 125.000 muestras maliciosas. Es importante difundir y estar al tanto de las amenazas para poder aplicar un plan de prevención y proteción tanto en ambitos corporativos como redes hogareñas”, agregó.

ESET comparte recomendaciones para estar protegido ante ataques de Emotet:

1. Mantener actualizados todos los equipos tanto a nivel de firmware como de software a sus últimas versiones.
2. Al recibir un correo, revisar el cuerpo del mensaje y la dirección de procedencia. Si llega a haber alguna sospecha, comunicarse con el departamento de soporte de la empresa y evitar abrir el correo y descargar el archivo adjunto.
3. Realizar pruebas de seguridad sobre la red, tanto externas como internas, para detectar errores en la configuración o exposición de servicios innecesarios. Así como también la detección de otras vulnerabilidades que le permitan a los cibercriminales comprometer una máquina para alojar y distribuir la amenaza.
4. Utilizar una solución de seguridad confiable en cada uno de los dispositivos
5. Visitar el sitio haveibeenemotet para saber si sus correos o dominios han sido utilizados en alguna campaña maliciosa por la amenaza.
6. Utilizar la herramienta gratuita para Windows, EmoCheck, que permite saber si su dispositivo ha sido infectado con Emotet.
7. Deshabilitar las macros de los documentos Office.

Noticias Relacionadas

Aparecen amenazas que aprovechan el lanzamiento de las videollamadas de WhatsApp3 min read ESET presentó su informe sobre las tendencias 2017: “La seguridad como rehén”5 min read Descubren malware que apunta a conmutadores de software de voz sobre IP2 min read Recomiendan activar el doble factor de autenticación de Zoom2 min read