20MINUTOS.ES

La compañía de ciberseguridad ESET da las claves para evitar caer en la trampa.Suplantan a ayuntamientos de Lleida en emails para propagar virus informáticos.

Teclado de un ordenador portátil

Hace unos días los expertos alertaron del regreso de Emotet, el troyano diseñado para robar datos financieros que ha vuelto bajo la apariencia de correos que se hacen pasar por contactos de la libreta de direcciones de la víctima, en una nueva estrategia que afecta especialmente a España.

Desde la compañía de ciberseguridad ESET explicaron que Emotet, activo desde 2014, se ha convertido en uno de los códigos maliciosos más destacados en su campo: el robo de credenciales bancarias.

Para conseguirlo utiliza asuntos muy escuetos pero directos, como 'Propuesta', 'Respuesta', 'Privacidad' o 'Nueva Plantilla', acompañados de cuerpos de mensaje breves y sin añadir información adicional.

De esta forma, el peligro reside en el fichero adjunto en formato Word, ya que si el usuario lo abre, se iniciará la cadena de ejecución del 'malware' que terminará instalando Emotet en el sistema y comprometiendo su seguridad.

Con respecto a sus víctimas, Emotet no hace distinción y se dirige tanto a usuarios particulares como pymes, corporaciones y entidades gubernamentales.

¿Cómo detectarlo y qué hacer?

Por eso, detectarlo resultará clave para evitar que infecte nuestro equipo y acceda a la libreta de direcciones de nuestro correo para seguir propagándose.

Según indican desde ESET, en los correos recibidos en las últimas horas se pueden observar varios puntos importantes para identificarlos como maliciosos. Uno de ellos es que no aparece un remitente sino dos. El primero es el que suplanta el malware para hacernos creer que el correo viene remitido por alguien de confianza. Por su parte, el segundo remitente que se puede observar en el campo "De:" o en el Return Path de la cabecera del correo pertenece al dominio comprometido por los atacantes y usado para realizar el envío masivo de correos.

Si el usuario se fija en él, puede ser capaz de detectar estos correos como fraudulentos y eliminarlos antes de que se conviertan en una amenaza para la seguridad del sistema. Adjunto al correo observamos un archivo de Word que puede tener varios nombres como "ARCHIVOFile_H3981.doc", "MENSAJE_092019.doc", "985832-2019-7-84938.doc" o "61.doc" entre muchos otros.

Si el usuario que recibe este correo hace caso omiso a los indicios que le muestran que se encuentra ante una amenaza y abre el fichero adjunto veremos cómo se utiliza una técnica bastante conocida para conseguir ejecutar código malicioso. Aparentemente, se muestra un documento legítimo pero con un aviso donde se indica que el archivo se encuentra en un modo de vista protegida y que, para poder ver su contenido, hace falta pulsar sobre la barra amarilla que se muestra en la parte superior con la opción de "Habilitar edición".

Este aviso que contiene el documento no es más que una imagen, incluida por los delincuentes incluyen para tratar que el usuario desactive de forma voluntaria una de las medidas de seguridad más efectivas de las que dispone Microsoft Office y que impide la ejecución automática de código mediante macros.

En el caso de que el usuario cae en la trampa y hace lo que le pide el documento, se ejecutarán una serie de macros que, a su vez, ejecutarán código en PowerShell. Este código forma parte de la segunda fase del ataque y consiste en contactar con dominios comprometidos por los atacantes para descargar un archivo malicioso.

El archivo malicioso descargado activa la tercera fase del ataque y actúa como descargador del archivo que contiene el troyano. Este troyano también está alojado en dominios comprometidos que los delincuentes van cambiando continuamente, así como también cambia el ejecutable del Emotet para dificultar su detección. Se puede obtener una lista detallada de los dominios comprometidos y los C&C gracias a la cuenta de Twitter de Cryptolaemus.

Cuando Emotet es descargado y ejecutado finalmente en el sistema se quedará a la espera para robar credenciales bancarias, aunque también aprovechará para obtener nuevas direcciones de correo a las que propagarse y, dependiendo de la campaña, instalar otro malware en el equipo.