Emotet regresa con nuevas tácticas de evasión

Emotet está de regreso con nuevas tácticas de evasión, distribuyendo malware en archivos .xls

Desde su inicio en 2014, Emotet ha seguido evolucionando de manera constante, agregando varias tácticas y técnicas nuevas para aumentar su probabilidad de infección exitosa. La última incorporación a su arsenal es una nueva técnica de evasión para engañar a los usuarios para que permitan que las macros descarguen el cuentagotas.

La reactivación de Emotet

Como observaron los investigadores de BlackBerry, los operadores de Emotet están utilizando archivos .xls en esta nueva ola de ataques de phishing. Cuando un usuario descarga un archivo adjunto (con esa extensión) del correo fraudulento, se le solicita que habilite las macros para descargar el cuentagotas de Emotet.

Dado que Microsoft confía automáticamente en este tipo de archivos, la funcionalidad de vista protegida ignora automáticamente cualquiera que sea ejecutado a partir de aquí, lo que permite que las macros se ejecuten sin ningún obstáculo.

Además de esto, la nueva variante de Emotet ahora ha pasado de 32 bits a 64 bits como otro método para evadir la detección.

Sus técnicas efectivas anteriores

Si bien Emotet aprovecha principalmente los correos electrónicos de phishing para infectar a sus víctimas, recientemente se han observado muchas otras tácticas de evasión para distribuir el malware. En octubre, los investigadores de Trustwave identificaron un aumento sin precedentes en los archivos ZIP protegidos con contraseña que entregaban este troyano.

Una actualización de la Unidad de análisis de amenazas de VMware reveló el uso de Emotet de mensajes de spam y direcciones URL incrustadas para evitar la detección. En septiembre, además, Emotet utilizó balizas Cobalt Strike que allanaron el camino para las infecciones de ransomware Quantum y BlackCat.