Cuidado con Emotet, el troyano que es casi un gusano

Es distribuido a través de campañas de spam utilizando una variedad de técnicas para hacer pasar por legítimos sus adjuntos maliciosos. El troyano es frecuentemente utilizado como un downloader o como un dropper para payloads secundarios potencialmente más dañinos. Debido a su alto potencial destructivo, EMOTET fue objeto de un comunicado por parte del CERT de Estados Unidos en julio de 2018.
Análisis
En esta campaña de febrero de 2019, EMOTET hace uso de adjuntos maliciosos en Word que se presentan como facturas, notificaciones de pago, alertas de cuentas bancarias, etc, y que simulan ser de organizaciones legítimas.

El compromiso de la víctima comienza al abrir un documento de Word (a veces un PDF) malicioso que viene como adjunto en un correo spam que aparenta ser de una organización legítima y conocida. Siguiendo las instrucciones en el documento, la víctima habilita los macros en Word o hace clic en el enlace dentro del PDF.

Paso seguido, el payload de EMOTET es instalado y ejecutado, establece persistencia en la computadora, y reporta que el compromiso se realizó de manera exitosa a su servidor C&C. Inmediatamente después, recibe instrucciones acerca de qué módulos de ataque y payloads secundarios debe descargar.

Los módulos extienden las funcionalidades de los payloads iniciales con las siguientes capacidades: robo de credenciales, propagación en la red, recopilación de información sensible, reenvío de puertos, entre otras más.

El aspecto más importante y que puede llevar fácilmente a la confusión de quién recibe la información, es que el correo es enviado (aparentemente) por una "persona" que es un contacto conocido de la víctima, e incluso está firmado por esta misma "persona" con la dirección que normalmente utiliza. Es decir, el usuario recibe entonces un correo electrónico con spoofing de un conocido y con información comercialmente coherente.

En un seguimiento particular realizado durante febrero en Argentina, se envió una cadena de 5 correos que partieron desde una Factura Disponible,pasando por una Tarifa Especial, un Procedimiento de Pago, una Confirmación de Pago y terminando con el último correo donde el usuario recibe el Recibo de Pago correspondiente. Cada uno de estos correos incluye un documento adjunto .DOC.