Ciencia y Tecnología

Algunos trucos para protegerse del troyano financiero Emotet

Llega a usuarios particulares y empresas mediante un correo electrónico que lleva un archivo adjunto, que incluye un enlace que no se debe pinchar en ningún caso.

La aplicación puede utilizar la cuenta de Google o Facebook
La aplicación puede utilizar la cuenta de Google o Facebooklarazon

Este virus está afectando especialmente a equipos instalados en España, por lo que es muy importante no pinchar en los enlaces que llevan los archivos adjuntos.

Es un viejo conocido de los expertos en seguridad informática que aparece con regularidad desde que se detectara por primera vez en 2014, infectando sistemas y dañando a los usuarios mediante el robo de datos bancarios y otras informaciones en los equipos donde se introducía. Tras un periodo de calma, el troyano Emotet vuelve a la carga y esta vez se ha centrado en España, donde podrían verse afectados numerosos equipos privados y de empresas si no tomamos una serie de precauciones.

En sus cinco años de existencia, Emotet se ha convertido en uno de los códigos maliciosos más destacados en el robo de credenciales bancarias, utilizando el correo electrónico malicioso (malspam) con ficheros adjuntos que el destinatario no debería abrir en ningún caso, aunque los complejos sistemas que utiliza Emotet para generar confianza son la clave de su expansión.

Utilizando la libreta de direcciones de usuarios ya infectados, el troyano se propaga enviando correos electrónicos con un asunto que pueda ser atractivo (Factura, Pedido, Envío), y desde un remitente conocido o la dirección de una empresa suplantada, pero la clave para detectarlo es la prudencia y un poco de observación.

Una de las pistas es que en el correo recibido aparecen dos remitentes, el primero el que suplanta el malware para hacerse pasar por alguien de confianza, y el segundo, que pertenece al dominio elegido por los atacantes en sus envíos masivos, que se puede ver en el campo ‘De’ o en el ‘Return Path’ de la cabecera del correo.

Estos correos electrónicos suelen venir acompañados de un archivo adjunto en formato Word con nombres muy variados (ARCHIVOFile_H3981.doc, MENSAJE_09019.doc, entre otros), que se suele utilizar de cebo para entrar en el ordenador del destinatario del mensaje. Si lo ignoramos, no hay ningún riesgo, pero si el archivo se abre se inicia la ejecución del programa malicioso de Emotet, aunque previamente sale un mensaje diciendo que el archivo se encuentra en un ‘modo de vista protegida’, siendo necesario pulsar en una barra amarilla situada en la parte superior y ‘Habilitar edición’, que lo que hace es deshabilitar las medidas de seguridad de Microsoft.

Cuando el usuario muerde en el anzuelo, se ejecutan una serie de macros que, a su vez, ejecutarán código en PowerShell, iniciando la segunda fase del ataque que consisten en contactar con dominios comprometidos por los atacantes para descargar un archivo malicioso, que en una tercera fase actúa como ‘dropper’ o descargador del archivo que contiene el troyano, y que va cambiando continuamente para no ser detectado

Su objetivo inicial eran las claves bancarias, aunque con los años ha ido evolucionando y ha creado nuevos módulos que lo han convertido en un malware complejo y polimórfico, permitiendo mejorar su capacidad de permanecer oculto y mejorar sus posibilidades de propagación. Se dirige tanto a usuarios particulares como pymes, corporaciones y entidades gubernamentales, con el objetivo de recopilar credenciales financieras para conseguir sustraer elevadas cantidades de dinero de sus víctimas.

La forma de reconocer el ‘malware’ o correo malicioso es que lleva dos remitentes, uno de la libreta de direcciones y otro de los atacantes.