Emotet es, posiblemente, una de las botnets más peligrosas y activas del mundo, dedicada a la tarea de realizar envíos masivos de correo no deseado con el que difunden (mediante archivo adjunto o con URL de descarga) malware que permite a sus responsables instalar ransomware y troyanos bancarios en los equipos de sus víctimas.
Emotet llevaba cinco meses inactiva, pero la semana pasada Malwarebytes Labs detectó los primeros indicios de una nueva campaña de spam procedente de esta botnet; la actividad habitual de Emotet se sitúa en torno a los 250.000 emails diarios.
Sin embargo, algo raro le pasa a Emotet desde hace unos días. Según el equipo de investigadores de ciberseguridad Cryptolaemus, Emotet está siendo víctima de un sabotaje por parte de un hacker anónimo que se dedica a reemplazar los ficheros con malware por GIFs animados, evitando así que una parte de las víctimas de la botnet llegue a infectarse.
Según Cryptolaemus, este aparente ‘buen cibersamaritano’ (no sería descartable que se tratara de una banda de ciberdelincuentes rival) habría manipulado aproximadamente una cuarta parte de las descargas del malware de Emotet llevadas a cabo en los cuatro últimos días. Pero, ¿cómo lo logra?
Las redes de difusión de malware tienen sus propios agujeros de seguridad
Emotet utiliza numerosos sitios web vulnerables basados en WordPress para alojar temporalmente su malware a espaldas de sus administradores, remitiendo a los mismos los enlaces de sus emails de spam.
Para controlar dichos sitios web, hace uso de un tipo de malware denominado ‘web shell’. Pero los responsables de Emotet no desarrollan sus propias web shells, sino que utilizan scripts de código abierto disponibles en GitHub; además, también utilizan la misma contraseña para todos sus web shells.
Y todo indica que nuestro hacker había logrado descubrir dicha contraseña, lo que ha abierto un boquete de seguridad en la botnet que ha aprovechado para ‘dar el cambiazo’: cuando deberían descargarse archivos de Office con macros maliciosos, lo que la potencial víctima obtiene es algún ejemplo popular de GIF animado.
Aparentemente, cada 1-2 días el hacker va cambiando el GIF usado: el de hoy era ‘Hackerman’, el hacker con poderes del popular y delirante cortometraje ‘Kung Fury’. Los responsables de Emotet parecen estar detectando cada intrusión al cabo de unas horas, y restaurando el contenido original, pero no parecen ser capaces de evitar nuevas intrusiones.