El virus troyano Emotet ha regresado y está teniendo una incidencia en España especial. Así lo ha advertido la compañía de ciberseguridad ESET, quienes hacen hincapié en la detección de estos para evitar la infección de los ordenadores y el malware acceda a la libreta de direcciones de nuestro correo electrónico para continuar con su propagación.
Según relatan desde la empresa de ciberseguridad, en los correos electrónicos que ocultaban el troyano no existe un remitente “sino dos”. Se debe a que el primero de ellos es el que suplanta el virus para usurpar la personalidad de alguien de confianza mientras que el segundo se puede ver en el campo De: o, en su defecto, en el Return Path.
“Si el usuario se fija, puede ser capaz de detectar estos correos como fraudulentos y eliminarlos antes de que se conviertan en una amenaza”, destacan desde ESET. Subrayan que el correo contiene, además, un archivo adjunto en formato Word que puede tener varios nombres como ARCHIVOFile_H3981.doc, MENSAJE_092019.doc, 985832-2019-7-84938.doc o '61.doc, entre muchos otros.
#Emotet is using a nice trick to try and evade sandbox detection; only executing the malicious macros if the RecentFiles.Count is greater than 3. Either patch the line of code, or have some entries in your recent files list to see the badness. #malware #dfir pic.twitter.com/9yBkO3XIis
— Colin Hardy (@cybercdh) September 26, 2019
El riesgo, de hecho, está en este archivo adjunto. Si el usuario lo abre, se libera el software que trae consigo el troyano e instalará Emotet en el equipo. ESET ha abierto estos documentos durante la investigación que mantiene en curso y explican que se trata de un archivo legítimo pero con un aviso en el que se solicita pulsar la opción de Habilitar edición para desbloquear la vista protegida.
Explican que es un “cebo” para que los usuarios desactiven de forma voluntaria “una de las medidas de seguridad más efectivas de las que dispone Microsoft Office y que impide la ejecución automática del código mediante macros”. Si se habilita la edición, se ejecutarán una serie de macros que activarán el código en PowerShell, que contacta con dominios comprometidos por los atacantes para descargarse el archivo malicioso.
Este último archivo ejerce de “descargador” del troyano final. Cuando Emotet se ha descargado y ejecutado en la computadora, se quedará a la espera “para robar credenciales bancarias”. La empresa asegura que el correo y la descarga del Word “no suponen que el equipo esté comprometido”, sino que advierten de la ejecución de los archivos.
