Emotet , una de las amenazas de malware más temidas en ciberseguridad, se renovó superficialmente esta semana, ocultándose dentro de una solicitud falsa de Microsoft Office que pide a los usuarios que actualicen Microsoft Word para que puedan aprovechar las nuevas funciones.

Esta presentación renovada podría apuntar a los esfuerzos internos de los actores de amenazas para aumentar la tasa de aciertos de Emotet, una posibilidad respaldada por la telemetría de Malwarebytes medida en los últimos meses.

Emotet aumenta en medio de una tendencia a la baja

Desde el 1 de agosto, Malwarebytes ha detectado picos semanales repetidos en las detecciones de Emotet, con un pico de agosto de aproximadamente 1.800 detecciones en solo un día. Sin embargo, esos picos frecuentes delatan la actividad más amplia del malware: una tendencia lenta y constante a la baja , de un promedio de alrededor de 800 detecciones a principios de agosto a un promedio de alrededor de 600 detecciones a mediados de octubre.

Actividad de detección reciente de Emotet desde principios de agosto hasta mediados de octubre

Atrapado por Malwarebytes el 19 de octubre , el nuevo método de entrega de Emotet intenta engañar a las víctimas para que piensen que han recibido una actualización de Microsoft Word. La nueva plantilla, que se muestra a continuación, incluye el siguiente texto:

«Actualice su edición de Microsoft Word

La actualización de su edición agregará nuevas funciones a Microsoft Word.

Por favor, haga clic en Habilitar edición y luego en Habilitar contenido «.

Si los usuarios siguen estas peligrosas instrucciones, en realidad habilitarán las macros maliciosas que están incrustadas en la propia «solicitud de actualización», que luego se utilizarán como vector principal para infectar la máquina con Emotet.

El último mecanismo de entrega de Emotet es una solicitud de actualización fraudulenta de Microsoft Word

Malwarebytes protege a los usuarios de Emotet y su último truco, como se muestra a continuación.

Malwarebytes reconoce y protege a los usuarios de Emotet

Para aquellos sin protección de ciberseguridad, este nuevo método de entrega puede parecer aterrador y, en cierto modo, sí lo es. Pero en comparación con los sigilosos desarrollos de Emotet en los últimos años, este último cambio es bastante común.

En 2018, la industria de la ciberseguridad detectó que Emotet se propagaba a través de enormes volúmenes de correo no deseado , en el que las víctimas potenciales recibían archivos adjuntos de correo electrónico maliciosos que supuestamente contenían información sobre «pagos pendientes» y otras facturas. En 2019, vimos una botnet que volvió a la vida para expulsar a Emotet , esta vez utilizando técnicas refinadas de spearphishing. Solo unas semanas después, descubrimos que los actores de amenazas estaban atrayendo a las víctimas a través del lanzamiento del libro del ex contratista de defensa de la NSA Edward Snowden . Y este año, Bleeping Computer informó que los actores de amenazas habían logrado entrenar a la botnet Emotet para robar archivos adjuntos legítimos de correo electrónico y luego incluirlos entre otros archivos maliciosos.adjuntos como una forma de legitimarlos.

Los actores de amenazas han hecho todo lo posible para entregar Emotet debido a sus capacidades destructivas. Aunque el malware comenzó como un simple troyano bancario para robar información confidencial y privada, hoy en día a menudo se usa en conjunto para entregar otros troyanos bancarios, como TrickBot, que pueden robar información financiera e inicios de sesión bancarios. Sin embargo, esta cadena de ataque no se detiene aquí, ya que los actores de amenazas también usan Emotet y Trickbot para entregar el ransomware Ryuk .

Para agravar el peligro para una organización está la capacidad de Emotet para difundirse a través de una red. Una vez que este malware se ha arraigado dentro de una red, ha descarrilado a innumerables consumidores, empresas e incluso ciudades enteras. De hecho, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., Los gobiernos han pagado hasta $ 1 millón para remediar un ataque de Emotet .

Cómo proteger su negocio de Emotet

Nuestro consejo para protegerse contra Emotet sigue siendo el mismo. Los usuarios deben estar atentos a los correos electrónicos de phishing, los correos electrónicos no deseados y cualquier cosa que incluya archivos adjuntos, incluso correos electrónicos que parezcan provenir de contactos o colegas conocidos.

Para los usuarios que hacen ese clic arriesgado, la mejor defensa es una solución de ciberseguridad que ya tenga funcionando. Recuerde, la mejor defensa contra una infección por Emotet es asegurarse de que nunca suceda en primer lugar. Eso requiere protección constante, no solo una respuesta posterior a los hechos.