Emotet

Emotet es un malware troyano polimórfico (cambia automáticamente su código cada cierto tiempo o con acciones determinadas del dispositivo), haciendo que sea más difícil para los antivirus detectar su firma. Anteriormente este malware se consideraba del tipo bancario debido a su comportamiento, hoy en día está integrado con varias funciones maliciosas debido a que consta de varios módulos que descarga de su servidor C&C (comando y control):[1]

• Módulo de spam.

• Módulo de gusano de red.

• Módulo para visualizar la contraseña del correo electrónico.

• Módulo para visualizar las contraseñas del navegador web.

Este malware en sus principios, cuando era considerado un malware bancario, obtenía información financiera usando métodos de sniffing y algunas de sus variantes usaban distintos tipos de payloads como, por ejemplo, inyectando código en la pila de red de un ordenador infectado,[2] permitiendo que información sensible sea robada por medio de transmisión de datos.[3] El malware Emotet de igual manera se auto inserta en los módulos del software los cuales le permiten robar datos de direcciones de teléfono y realizar ataques DOS (denial of service attacks) en otros sistemas.[4]

Emotet ha evolucionado en su manera de esparcirse. El modo más destacado que usa es por medio de una botnet de spam, adjuntado documentos maliciosos o URL links en el cuerpo de un correo electrónico, a veces disfrazado como factura o PDF adjunto,[5] así que cuando el usuario da clic al archivo se descarga un documento con una macro que por medio de powershell[6] descarga el malware Emotet. Las versiones de hoy en día integran un módulo que se aprovecha de ataques de fuerza bruta con diccionario.

Su primera aparición fue en Alemania, Austria, y Suiza en el año 2014, rápidamente siguió con Estados Unidos esparciéndose no necesariamente a través de las maneras descritas anteriormente. Las infecciones del malware más bien se dieron a través de código malicioso JavaScript (.JS); cuando el código javascript malicioso es ejecutado le da la capacidad al malware Emotet de infectar al actual dispositivo anfitrión.[7]

Una vez que Emotet ha infectado a un dispositivo, tiene la capacidad de interceptar, registrar, y guardar todo el tráfico de red saliente del navegador web, dejando que información sensible de la víctima sea guardada por el malware para acceder a su(s) cuenta(s) de banco, o hasta convertir el sistema anfitrión en parte de la botnet para esparcir malware.[8]

Emotet es miembro de la familia de malware troyano Feodo.[9] Cuando este malware es ejecutado en un entorno virtual(máquina virtual) cambia su manera de comportarse con el objetivo de engañar a los investigadores del malware en cuestión.[10]

Referencias

EMOTET Returns, Starts Spreading via Spam Botnet https://blog.trendmicro.com/trendlabs-security-intelligence/emotet-returns-starts-spreading-via-spam-botnet/%7Cwebsite=trendmicro%7Caccessdate=7 september 2017
Kovacs, Eduard (30 de junio de 2014). «"Emotet" Banking Malware Steals Data Via Network Sniffing». www.securityweek.com (en inglés). Consultado el 22 de mayo de 2017.
Shulmin, Alexey. «The Banking Trojan Emotet: Detailed Analysis». Securelist. Consultado el 14 de junio de 2017.
«Emotet». New Jersey Cybersecurity & Communications Integration Cell (en inglés estadounidense) (State of New Jersey). 26 de abril de 2017. Consultado el 22 de mayo de 2017.
«Emotet Changes TTPs and Arrives in United States». Center for Internet Security. Consultado el 14 de junio de 2017.
«Analizando el troyano bancario Emotet». CIBERSEGURIDAD .blog. 10 de octubre de 2019. Consultado el 12 de octubre de 2019.
Masters, Greg. «Emotet banking trojan debuts in U.S.». SC Media. Consultado el 14 de junio de 2017.
Salvio, Joio. «New Banking Malware Uses Network Sniffing for Data Theft». Trend Micro. Consultado el 14 de junio de 2017.
«Emotet Changes TTPs and Arrives in United States». www.cisecurity.org (en inglés estadounidense). Consultado el 22 de mayo de 2017.
Shulmin, Alexey (9 de abril de 2015). «The Banking Trojan Emotet: Detailed Analysis - Securelist». securelist.com. Consultado el 22 de mayo de 2017.

Datos: Q30688185

Este artículo ha sido escrito por Wikipedia. El texto está disponible bajo la licencia Creative Commons - Atribución - CompartirIgual. Pueden aplicarse cláusulas adicionales a los archivos multimedia.

[1] EMOTET Returns, Starts Spreading via Spam Botnet https://blog.trendmicro.com/trendlabs-security-intelligence/emotet-returns-starts-spreading-via-spam-botnet/%7Cwebsite=trendmicro%7Caccessdate=7 september 2017

[2] Kovacs, Eduard (30 de junio de 2014). «"Emotet" Banking Malware Steals Data Via Network Sniffing». www.securityweek.com (en inglés). Consultado el 22 de mayo de 2017.

[3] Shulmin, Alexey. «The Banking Trojan Emotet: Detailed Analysis». Securelist. Consultado el 14 de junio de 2017.

[4] «Emotet». New Jersey Cybersecurity & Communications Integration Cell (en inglés estadounidense) (State of New Jersey). 26 de abril de 2017. Consultado el 22 de mayo de 2017.

[5] «Emotet Changes TTPs and Arrives in United States». Center for Internet Security. Consultado el 14 de junio de 2017.

[6] «Analizando el troyano bancario Emotet». CIBERSEGURIDAD .blog. 10 de octubre de 2019. Consultado el 12 de octubre de 2019.

[7] Masters, Greg. «Emotet banking trojan debuts in U.S.». SC Media. Consultado el 14 de junio de 2017.

[8] Salvio, Joio. «New Banking Malware Uses Network Sniffing for Data Theft». Trend Micro. Consultado el 14 de junio de 2017.

[9] «Emotet Changes TTPs and Arrives in United States». www.cisecurity.org (en inglés estadounidense). Consultado el 22 de mayo de 2017.

[10] Shulmin, Alexey (9 de abril de 2015). «The Banking Trojan Emotet: Detailed Analysis - Securelist». securelist.com. Consultado el 22 de mayo de 2017.