Después de estar ausente sin permiso durante un par de meses, la temida red de bots Emotet está de vuelta y tiene nuevos trucos.
Los investigadores de seguridad cibernética de Deep Instinct detectaron recientemente una nueva variante del infame malware y afirman que se actualizó con algunos trucos nuevos que lo ayudan a evadir la detección de los programas antivirus, Ars Technica. (se abre en una pestaña nueva) informado.
Según el informe, Emotet ha estado haciendo lo que mejor sabe hacer: distribuir archivos de Word armados por correo electrónico, llevando macros que, si están habilitadas, desencadenan una descarga de carga útil maliciosa desde un sitio web de terceros. El archivo que se está distribuyendo ha sido «bombeado» – inflado a tamaños grandes. Eso lo ayuda a evadir la activación del antivirus.
Activar macros
Emotet utiliza diferentes métodos para «bombear» el archivo; a veces, solo se agregan ceros al final del documento y, a veces, se copian y pegan párrafos completos de Moby Dick, en una fuente de color blanco sobre un fondo blanco, de modo que no se puede ver
En promedio, el archivo tiene un tamaño de más de 500 MB, dijeron los investigadores. Los archivos de este tamaño generalmente no son analizados por los programas antivirus.
El contenido del documento también está borroso, con un mensaje superpuesto que dice «el documento está protegido», para engañar a la víctima para que active las macros.
Si eso sucede, el documento de Word descargará un archivo .DLL malicioso que también ha sido «bombeado». El .DLL está alojado en un sitio legítimo de un tercero que ha sido pirateado y se usa como mula para distribuir el malware.
En caso de que la víctima termine descargando Emotet sin saberlo, escaneará el punto final en busca de contraseñas y otros datos confidenciales, y los extraerá a una ubicación remota.
Además, utilizará el dispositivo comprometido para propagarse a más víctimas. Como se señaló anteriormente, Emotet generalmente se propaga a través del correo electrónico, aprovechando una cadena de correo electrónico existente y respondiendo a un mensaje anterior para no levantar sospechas. En el correo electrónico, Emotet también se dirigirá a la víctima por su nombre.
Finalmente, la botnet es capaz de descargar cargas maliciosas adicionales, como el ransomware Ryuk o el malware TrickBot.