Torna Emotet, el troià bancari més avançat i autopropagable

Emotet es va considerar uns dels tres malwares més perillosos, doncs després d'uns mesos que cessés pràcticament per complet la seva activitat a finals de novembre de 2022, era qüestió de temps que tornés. El moment ha arribat amb la detecció de diverses campanyes de correu brossa amb adjunts maliciosos en forma de documents ofimàtics que torna a buscar noves víctimes, especialment entre els empleats d'empreses de totes les mides. Emotet, una de les principals amenaces per a les empreses espanyoles i de tot el món segons companyies com Check Point, ha registrat activitat amb l'enviament de correus electrònics maliciosos després de tres mesos en pausa. Descobert el 2014, aquest troià bancari ha permès l'accés als sistemes informàtics a cibercriminals d'alt nivell, que han realitzat activitats il·lícites, com ara robatori de dades o l'extorsió a través de ransomware. Es tracta d'un malware distribuït a través de correus electrònics amb documents de serveis com Microsoft Word i Excel, entre altres. Un cop oberts, instal·la la càrrega maliciosa als dispositius infectats i espera les ordres d'un servidor, que ho controla en remot. Tot i que Emotet va minvar la seva activitat gradualment després d'una operació d'enviament de correu brossa el novembre del 2022, l'empresa de ciberseguretat Cofense ha advertit una nova campanya d'aquest troià.

En concret, Emotet ha aparegut en cadenes de correu electrònic que afegeixen fitxers .zip, que contenen documents adjunts com a informes de finances i factures i que no compten amb la protecció de contrasenyes o credencials per accedir-hi.

No obstant això, aquests documents maliciosos integren una notificació d'Office 365 que assenyala que estan protegits i, un cop oberts, sol·liciten els usuaris 'Habilitar el contingut', el que descarrega automàticament el troià.

Aquest programari maliciós, que s'executa en segon pla, queda en espera d'ordres per part del servidor, que pot seguir instal·lant altres càrregues útils al dispositiu infectat.

Tàctiques similars però amb alguns canvis

Des de fa temps, les campanyes d'Emotet es caracteritzen per fer servir correus electrònics amb assumptes relacionats amb factures o pressupostos i que adjunten fitxers ofimàtics de Microsoft Office modificats. Aquest tipus de campanyes van especialment adreçades als departaments d'administració i comercial de les empreses, acostumats a rebre correus similars cada dia i que poden ser més propensos a obrir i executar els fitxers maliciosos.

En aquesta nova campanya s'ha detectat com els delinqüents segueixen usant aquesta tècnica, adjuntant fitxers comprimits en format ZIP i que es fan passar per suposades factures.

No obstant això, per a aquesta nova campanya els delinqüents han fet servir una tècnica utilitzada per altres malware com el troià bancari Grandoreiro que consisteix a inflar la mida del fitxer una vegada descomprimit per així intentar evitar la detecció estàtica per part dels antivirus quan el document es desa al disc. En un testeig de l'atac veiem com un fitxer d'uns quants Kilobytes es passa a més de 550 Megabytes quan es procedeix a descomprimir-ho.

El fitxer resultant és un document de MS Word que no pocs usuaris es veuran temptats dobrir per comprovar si realment hi ha una factura al seu interior. No obstant això, el que trobareu al vostre interior és un avís indicant que el document està protegit i que cal habilitar l'opció habilitar el contingut per poder-lo mostrar.

El que sí que no canvia és la manera d'atacar d'un troià, un cop dins del sistema el dany pot ser irreparable