Evolución de Emotet: De troyano bancario a distribuidor de malware

Desde su descubrimiento en 2014, cuando Emotet era un ladrón de credenciales estándar y un troyano bancario, el malware se ha convertido en una plataforma modular y polimórfica para distribuir otros tipos de virus informáticos.

Emotet, que se encuentra en constante desarrollo, se actualiza regularmente para mejorar el sigilo, la persistencia y agregar nuevas capacidades de espionaje.

Este notorio troyano es uno de los programas maliciosos que se encuentran con mayor frecuencia en la naturaleza. Por lo general, es parte de un ataque de phishing, correo no deseado que infecta las PC con malware y se propaga entre otras computadoras en la red.

Emotet es el malware más cargado en los últimos años. A continuación se muestra la calificación de las cargas a ANY.RUN servicio en 2019, donde los usuarios ejecutaron más de 36000 sesiones interactivas de análisis de malware Emotet en línea.

Vía Any Run

Dado que Emotet utiliza correos electrónicos robados para ganarse la confianza de las víctimas, el spam se ha mantenido como el principal método de entrega de Emotet, lo que lo hace convincente, altamente exitoso y peligroso.

Por ejemplo, en 2018, el sistema gubernamental sufrió una infección por Emotet en Allentown, una ciudad en el este de Pensilvania, que les costó $ 1 millón para recuperarse.

Toda la ciudad de Frankfurt tuvo que cerrar la red debido a Emotet en 2019. Diferentes tipos de organizaciones, desde el gobierno hasta las pequeñas empresas, todos los servicios públicos se vieron obligados a detener su trabajo a través de TI.

Según las últimas investigaciones, Emotet es una amenaza mundial que afecta a todo tipo de esferas. Solo mira el siguiente mapa, Italia, España y los Emiratos Árabes Unidos son los principales países con los usuarios más atacados.

Vía Any Run

Según un gráfico de las muestras de Emotet cargadas en el servicio ANY.RUN, puede ver el comportamiento del malware en 2019 y 2020.

Emotet ha sido una amenaza durante años, ya que cambia permanentemente. Las primeras versiones difieren de la actual, incluso por sus intenciones: Emotet se ha desarrollado desde el troyano bancario hasta el cargador.

Para la distribución y ejecución del usuario, Emotet utiliza spam malicioso y documentos con macros VBA. Después de que un objetivo descarga los documentos maliciosos adjuntos de un correo electrónico y los abre, el documento de Office engaña al usuario para que habilite la macro. Después de eso, la macro incrustada comienza su ejecución y los escenarios posteriores pueden variar. La variante más común en los últimos años es que las macros inician un script Powershell codificado en Base64 que luego descarga un ejecutable. Pero en este punto, Emotet trae muchas ejecuciones diferentes.