Investigadores de la firma de ciberseguridad MalwareTech revelaron que los actores de amenazas detrás de Emotet han rediseñado completamente su malware y algunos de sus módulos para equiparlo con capacidades mejoradas de evasión antimalware. Botnet se refiere a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota. Y ha sido Emotet el que protagonizó y propició un rebrote del ransomware Ryuk que asoló ayuntamientos y hospitales españoles durante enero y febrero de 2020.
“Emotet ha vuelto y está mejor (peor para nosotros) que antes. Después de meses de inactividad, todas las botnets muestran signos de vida y utilizan nuevas técnicas de evasión”, declararon los investigadores en Twitter.
“Botnet E2 actualmente está implementando módulos de robo de credenciales y correo electrónico, probablemente en preparación para una nueva campaña de spam”, añade la misma fuente.
Según los investigadores, los botnets ahora han comenzado a utilizar la técnica de hashbusting para garantizar que el hash (cadena de comandos) del archivo del malware en cada sistema infectado no sea el mismo. Además, el nuevo código Emotet ahora está utilizando “una máquina de estado para ofuscar el flujo de control”.
“Las ramas se aplanan en bucles anidados, lo que permite que los bloques de código se coloquen en un orden arbitrario, con flujo controlado por un valor de estado aleatorio”, dijeron los investigadores. Esto permite una mutación de código fácil y posiblemente un polimorfismo“, argumentan estos expertos.
Orígenes de Emotet
Emotet se desarrolló originalmente como un troyano bancario, como Trickbot, aunque se ha reescrito varias veces en los últimos años para funcionar como un cargador de malware. Según los investigadores de la firma de ciberseguridad Malwarebytes, este malware se eliminó de casi 1,5 millones de sistemas en los primeros nueve meses de 2018. El año pasado, la amenaza de Emotet se volvió tan crítica que US-CERT se vio obligada a emitir una alerta para advertir a las organizaciones sobre la botnet.
Emotet puede entregar módulos capaces de robar contraseñas de aplicaciones locales y distribuirse lateralmente a otras máquinas en la red. Estos módulos pueden incluso robar hilos de correo electrónico completos y reutilizarlos más tarde en campañas de spam.
Los ciberactores detrás de Emotet también son conocidos por ejecutar su botnet como Malware-as-a-Service (MaaS). Como parte del esquema, a otras pandillas cibernéticas se les permite alquilar acceso a máquinas infectadas con Emotet para dejar caer sus propias cepas de malware.
En septiembre del año pasado, los investigadores de Cisco Talos dijeron que habían notado que Emotet aprovechaba las contraseñas de correo electrónico robadas en una nueva campaña lanzada por los operadores de Emotet después de una brecha de casi cuatro meses.
