Emotet: un virus que evoluciona y obliga a tomar precauciones
Emotet es un malware del tipo troyano que permite a un atacante controlar un equipo infectado sin el conocimiento de la víctima.
Una de sus principales características es que posee capacidad de propagación lateral, es decir, infectar y distribuirse hacia otros equipos conectados a una misma red. Para ello, utiliza la vulnerabilidad conocida como EternalBlue, a través de la cual infecta equipos vulnerables con ataques de fuerza bruta sobre usuarios de dominio y envíos de spam hacia afuera de la red.
Emotet es también un malware que tiene la capacidad de cambiar su estructura (polimorfismo) para evitar ser detectado por los antivirus instalados en los equipos. Asimismo, es capaz de evolucionar hacia otros casos de malware, como por ejemplo, el ransomware.
¿Cómo se produce la infección?
Usualmente, la infección se realiza a través de un mensaje de correo electrónico que, aparentando provenir de un remitente válido, engaña a la víctima para que descargue un adjunto malicioso o haga clic en un enlace.
Se han identificado múltiples variaciones en el “Asunto” de los correos que contienen este malware; por ejemplo: “Documento #{número}”, “Factura #{número}”, “Orden #{número}”, “Pago #{número}”, “Factura de pago #{número}”, “Boleto #{número}”, “En su documento #{número}”, “Su pedido #{número}”, “Tu boleto #{número}”, “Estimado cliente”, “Nueva-factura.doc”, “Contrato.doc” y “Para leer el documento, por favor, abra el archivo adjunto y responda lo más pronto posible”.
Los archivos adjuntos infectados con Emotet suelen ser documentos de Office maliciosos que contienen códigos de Visual Basic for Applications (VBA), conocidos como “macros”. El adjunto suele incluir un mensaje para engañar a la víctima y conseguir que habilite la ejecución de macros en Microsoft Office. Si el macro es ejecutado, por medio de comandos Powershell descarga el troyano Emotet desde distintos servidores de internet. Una vez descargado, el malware procede a infectar el equipo del usuario.
Los servidores desde los que se realiza la descarga varían continuamente, lo que dificulta la tarea de bloquearlos con los firewalls de la red.
Recomendaciones
- Mantener actualizados los sistemas operativos, software de ofimática y todo el software utilizado con sus últimos parches de seguridad.
- Mantener actualizados las firmas de antivirus en todos los equipos.
- Evitar utilizar software fuera de soporte oficial.
- Deshabilitar macros en documentos de Office, abriéndolos al menos en modo “Visualización protegida”.
- Deshabilitar Windows Script Host.
- Filtrar los correos que contengan adjuntos con las siguientes extensiones: .386, .ace, .acm, .acv, .ade, .adp, .adt, .ani, .app, .arc, .arj, .asd, .asp, .avb, .ax, .bas, .bat, .boo, .btm, .cab, .cbt, .cdr, .cer, .chm, .cla, .cmd, .cnv, .com, .cpl, .crt, .csc, .csh, .css, .dll, .drv, .dvb, .email, .exe, .fon, .fxp, .gms, .gvb, .hlp, .ht, .hta, .htlp, .htt, .inf, .ini, .ins, .iso, .isp, .its, .jar, .job, .js, .jse, .ksh, .lib, .lnk, .maf, .mam, .maq, .mar, .mat, .mau, .mav, .maw, .mch, .mda, .mde, .mdt, .mdw, .mdz, .mht, .mhtm, .mhtml, .mpd, .mpt, .msc, .msi, .mso (except oledata.mso), .msp, .mst, .nws, .obd, .obj, .obt, .obz, .ocx, .ops, .ovl, .ovr, .pcd, .pci, .perl, .pgm, .pif, .pl, .pot, .prf, .prg, .ps1, .pub, .pwz, .qpw, .reg, .sbf, .scf, .scr, .sct, .sfx, .sfx, .sh, .shb, .shs, .shtml, .shw, .smm, .svg, .sys, .td0, .tlb, .tmp, .torrent, .tsk, .tsp, .tt6, .url, .vb, .vbe, .vbs, .vbx, .vom, .vsmacro, .vss, .vst, .vsw, .vwp, .vxd, .vxe, .wbk, .wbt, .wIz, .wk, .wml, .wms, .wpc, .wpd, .ws, .wsc, .wsf, .wsh
- Catalogar como “spam” los correos que provengan de dominios no confiables (por ejemplo, listas negras).
- Habilitar la visualización de la extensión de los archivos.
- Evitar y/o restringir los permisos administrativos cuando sea posible.
- Realizar campañas de concientización para identificar correos fraudulentos (por ejemplo, campaña Seguro Te Conectás de Agesic).
- Aislar los equipos infectados con el malware.
Enlaces de interés
Acceder a más información sobre el malware Emotet en el sitio web de Cybereason