Emotet es una de esas amenazas que vemos cada cierto tiempo. Los piratas informáticos buscan constantemente la manera de perfeccionar sus ataques, de realizar campañas que logren infectar los dispositivos. Hoy nos hacemos eco de la nueva estrategia, aunque con ciertos errores que vamos a comentar. Se basa principalmente en archivos protegidos con contraseña que logran evitar las puertas de enlace de seguridad del correo electrónico.

Emotet usa archivos protegidos para evitar la seguridad

Pero los ciberdelincuentes han cometido un error en esta campaña. El motivo es que han comenzado a utilizar archivos que supuestamente han sido creados con Windows 10 Mobile. Piden a las víctimas que permitan las macros para poder ver esos documentos, ya que están creados supuestamente con ese sistema operativo.

La cuestión es que Windows 10 Mobile llegó al final de su vida útil a principios de este año. Sin embargo ese pequeño fallo de los piratas informáticos ya ha sido resuelto, y es que ahora entregan esos mismos archivos pero indicando que fueron creados con Android. El funcionamiento es el mismo: la víctima tiene que habilitar las macros y de esta forma se activa el código malicioso.

Respecto a la característica principal de este ataque, hay que mencionar que utiliza archivos protegidos con el fin de saltarse las medidas de seguridad del correo electrónico. Ya sabemos que muchas amenazas llegan a través de este medio y esto también hace que las barreras para evitarlo mejoren. Sin embargo los piratas informáticos siempre buscan nuevas estrategias para lograr sus objetivos, como vemos en el caso de Emotet.

En esta nueva campaña utilizan diferentes idiomas, por lo que abarcan una gran cantidad de países. Pueden ser invitaciones a reuniones, confirmaciones de pedidos, informes… Todos esos documentos llegan comprimidos en un archivo que viene protegido por contraseña. En el mensaje les indican la clave que tienen que utilizar.

Una vez la víctima extrae ese archivo e introduce la contraseña, se encuentran con ese documento donde les piden que habiliten las macros. Es ahí cuando se descarga la carga útil de Emotet. Según indican los investigadores de seguridad suele ser QakBot. Por suerte podemos comprobar si estamos infectados por Emotet.

La campaña lleva activa semanas

Microsoft ha detectado esta campaña en los últimos días. Sin embargo desde Cryptolaemus, un grupo de investigadores de seguridad, indican que lleva varias semanas funcionando. Llevan tiempo utilizando esta estrategia que ellos llamaron Zip Lock.

Hay que tener en cuenta que este problema puede afectar a todo tipo de usuarios. Como hemos visto los mensajes suelen ser diferentes, ya que en ocasiones podrán indicar que se trata de una invitación, algo relacionado con un pedido, un informe…

Nuestro consejo siempre es mantener el sentido común en estos casos. Es vital no abrir ningún archivo que recibamos por correo electrónico y en el que no podamos confiar. Mucho menos este tipo de documentos que vienen protegidos por clave y que, como vemos, se usa básicamente para evitar las medidas de seguridad.

Fuente y redacción: redeszone.net

Compartir