Si ha notado un aumento de spam que se dirige a usted por nombre o cita correos electrónicos reales que ha enviado o recibido en el pasado, probablemente pueda culpar a Emotet. Es una de las botnets más costosas y destructivas del mundo, y acaba de regresar de una pausa de cuatro meses.
Emotet comenzó como un medio para difundir un troyano de fraude bancario, pero a lo largo de los años se transformó en una plataforma de alquiler que también propaga el cada vez más poderoso troyano TrickBot y el ransomware Ryuk , los cuales se excavan profundamente en las redes infectadas para maximizar el daño que hacen. Una publicación publicada el martes por investigadores del equipo de seguridad de Talos de Cisco ayuda a explicar cómo Emotet continúa amenazando a muchos de sus objetivos.Ars Technica
Fácil de enamorarse
El spam enviado por Emotet a menudo parece provenir de una persona con la que el objetivo ha correspondido en el pasado y cita los cuerpos de hilos de correo electrónico anteriores en los que los dos han participado. Emotet obtiene esta información al registrar las listas de contactos y las bandejas de entrada de las computadoras infectadas. Luego, la botnet envía un correo electrónico de seguimiento a uno o más de los mismos participantes y cita el cuerpo del correo electrónico anterior. Luego agrega un archivo adjunto malicioso. El resultado: mensajes maliciosos que son difíciles de detectar tanto para humanos como para filtros de spam.
El uso de correos electrónicos enviados anteriormente no es nuevo, ya que Emotet hizo lo mismo antes de que se silenciara a principios de junio. Pero con su regreso esta semana, la botnet depende mucho más del truco. Alrededor del 25% de los mensajes de spam que Emotet envió esta semana incluyen correos electrónicos enviados anteriormente, en comparación con aproximadamente el 8% de los mensajes de spam enviados en abril.
203k contraseñas de correo electrónico robadas
Para facilitar el envío del spam, Emotet también roba los nombres de usuario y las contraseñas de los servidores de correo electrónico salientes. Esas contraseñas se entregan a las máquinas infectadas que los servidores de control de Emotet han designado como emisores de spam. Los investigadores de Talos encontraron casi 203,000 pares únicos que fueron recolectados durante un período de 10 meses.
«En total, la vida útil promedio de un solo conjunto de credenciales de correo electrónico salientes robadas fue de 6.91 días», informó la publicación de Talos. «Sin embargo, cuando miramos más de cerca la distribución, el 75% de las credenciales robadas y utilizadas por Emotet duraron menos de un día. Noventa y dos por ciento de las credenciales robadas por Emotet desaparecieron en una semana. El 8% restante del correo saliente de Emotet la infraestructura tuvo una vida útil mucho más larga «.
Una de las formas en que Emotet se propaga a otros dispositivos en la misma red es explotando contraseñas fáciles de adivinar.
Con su grupo masivo de correos electrónicos robados y contraseñas de servidores de correo electrónico, malware de nivel profesional y elegantes trucos de ingeniería social, Emotet ha llegado a ser considerado como una de las redes de bots más amenazantes del mundo, al menos para las personas que usan Windows. Las personas deben contrarrestar la amenaza considerando el uso de Windows Defender, Malwarebytes u otro programa antivirus de buena reputación. Otra medida: sospechar mucho de cada archivo adjunto o enlace recibido por correo electrónico, incluso cuando parece provenir de alguien que usted conoce. Las personas también deben usar contraseñas seguras para cada dispositivo conectado en su red para evitar que las infecciones de Emotet se propaguen dentro de una red local.
