Identificado por primera vez en 2014 como un troyano muy básico, Emotet se ha convertido en un formidable malware capaz de instalar otro malware en las PC infectadas. En 2020 logró infiltrarse en el Ministerio de Justicia de Quebec, antes de intensificar sus ataques contra los gobiernos de Francia, Japón y Nueva Zelanda. Después de varios meses de ausencia, vuelve para jugarte una mala pasada.
Emotet tiene un nuevo truco bajo la manga
Una de las características del malware Emotet es enviar correos electrónicos maliciosos que parecen provenir de un contacto conocido, dirigiéndose al destinatario por su nombre y simulando responder a un chat anterior. Luego engaña a los usuarios para que hagan clic en enlaces peligrosos o activen macros (serie de instrucciones agrupadas en un solo comando/acceso directo) en documentos adjuntos de Microsoft Office.
Para escapar de los distintos sistemas de seguridad, Emotet tiene un nuevo método: adjuntar un documento de Word donde al final hay una gran cantidad de datos superfluos (una serie de ceros, por ejemplo). El objetivo aquí es adjuntar un archivo de más de 500 MB, que es lo suficientemente grande como para evitar que algunas soluciones de seguridad escaneen el contenido del documento.
Una variación de este método, conocida como “relleno binario” o “bombeo de archivos”, consiste en escribir texto blanco sobre un fondo blanco para que no sea visible. Cualquier texto servirá, como se ve arriba con un extracto de la novela Moby Dick de Herman Melville.
Además del peso del archivo, el texto que añaden los piratas a través de Emotet evita que las distintas soluciones de seguridad lo descarten automáticamente. De hecho, este último etiqueta sistemáticamente los archivos de Microsoft Office que solo contienen una macro y una imagen. Por lo tanto, el texto permite que el archivo se escape por las grietas.
Una vez que se abren los archivos, los documentos de Word contienen una imagen que indica que no se puede acceder al contenido a menos que el usuario haga clic en el botón “habilitar contenido”. Al realizar esta acción, se anula el valor predeterminado de Word que deshabilita las macros descargadas de Internet.
Una vez ejecutada, la macro obliga a Office a descargar un archivo .zip de un sitio web legítimo pirateado. Cuando se descomprime, se instala un archivo DLL infectado. Este último es una biblioteca que contiene código y datos que pueden ser utilizados simultáneamente por múltiples programas.
Descubrir : Cómo los piratas informáticos usan ChatGPT para vaciar su cuenta bancaria
Después de infectar la máquina de la víctima, el malware logra robar contraseñas y otros datos confidenciales. Emotet puede luego copiar las conversaciones de correo electrónico recibidas en las máquinas infectadas y usarlas para enviar spam a los contactos de las víctimas, quienes a su vez serán infectados.
La mejor manera de protegerse contra estos ataques es nunca habilitar macros en un documento recibido por correo electrónico a menos que haya contactado a la persona que lo envió a través de otro medio de comunicación.
“Apasionado especialista en tocino. Defensor de Internet. Adicto a la cerveza. Amable aficionado a los zombis. Experto en Internet”.