En el panorama actual de la seguridad, el ataque Emotet es una de las mayores fuentes de malspam. Este es un término utilizado para describir correos electrónicos que entregan archivos adjuntos con malware.
Estas campañas malspam son absolutamente cruciales para los operadores de Emotet. Son la base que apuntala a la red de bots, alimentando a nuevas víctimas a la máquina Emotet. Esto consiste en una evolución del malware como servicio (MaaS) que se alquila a otros grupos criminales.
Emotet, el malware como servicio
Para evitar que las empresas de seguridad detecten como «maliciosos» o «spam» los correos, el grupo Emotet cambia regularmente cómo se entregan estos correos electrónicos y cómo se ven los archivos adjuntos.
Los operadores de Emotet cambian las líneas de asunto del correo electrónico, el texto en el cuerpo del correo electrónico, el tipo de archivo adjunto. Pero también el contenido del archivo adjunto, que es tan importante como el resto del correo electrónico.
Esto se debe a que los usuarios que reciben Emotet malspam deben realizar un proceso. Además de leer el correo electrónico y abrir el archivo, todavía necesitan permitir que el archivo ejecute macros. Las macros de Office solo se ejecutan después de que el usuario haya presionado el botón «Habilitar edición» que se muestra dentro de un archivo de Office.
A lo largo de los años, Emotet ha desarrollado una colección de documentos de Office. Estos utilizan una amplia variedad de «cebos» para convencer a los usuarios de hacer clic en el botón «Habilitar edición».
Los datos adjuntos de archivos enviados en campañas recientes muestran un mensaje que dice ser del servicio de Windows Update. Indicando a los usuarios que la aplicación de Office debe actualizarse. Naturalmente, esto debe hacerse haciendo clic en el botón Habilitar edición.
Según este informe, en algunos hosts infectados, Emotet instaló el troyano TrickBot. Se confirma así un informe de ZDNet de principios de esta semana que la botnet TrickBot sobrevivió a un intento de eliminación reciente de Microsoft y sus socios.
