En días recientes, FortiGuard Labs de Fortinet capturó más de 500 archivos de Microsoft Excel que participaron en una campaña para esparcir un nuevo troyano Emotet en los dispositivos de los usuarios.
¿Qué es el virus Emotet y en qué consiste?
Emotet fue identificado, por primera vez en 2014, por investigadores de seguridad. Originalmente, fue referido como un virus bancario que intentaba colarse en los ordenadores y robar información confidencial y privada.
En versiones posteriores, se añadieron los servicios de envío de spam y malware, incluidos otros troyanos bancarios.
Desde su descubrimiento se ha vuelto muy activo y se actualiza continuamente. Los informes de inteligencia de amenazas de FortiGuard Labs para América Latina y el Caribe, muestran que Emotet ha estado operando en la región durante todo el año pasado y continúa este 2022.
Emotet utiliza la ingeniería social, como por ejemplo, el correo electrónico, para atraer a los destinatarios a abrir archivos de documentos adjuntos (incluidos Word, Excel, PDF, etc.) o hacer clic en enlaces dentro del contenido del e-mail, que descargan la última variante del virus en el dispositivo de la víctima, para luego ejecutarla.
Adicionalmente, emplea funciones que ayudan al software a eludir la detección por parte de algunos productos anti-malware. También, hace uso de capacidades similares a las de un gusano, para ayudar a su propagación a otros ordenadores conectados. Esto favorece la distribución del malware.
Es tal su impacto, que el Departamento de Seguridad Nacional de los Estados Unidos ha concluido que Emotet es uno de los virus más costosos y destructivos, que afecta a los sectores gubernamentales y privados, particulares y organizaciones, y cuya limpieza, por incidente, cuesta más de 1 millón de dólares.
Archivos de MS Excel, un blanco para Emotet.
Los analistas de FortiGuard Labs tomaron un archivo de MS Excel de las muestras capturadas y realizaron una investigación profunda de esta campaña. Encontraron un mensaje falso, utilizado para atraer a una víctima e invitarla a hacer clic en el botón “Habilitar contenido” (Enable Content) y así, ver la información protegida del archivo de Excel.
Esta carpeta pudo haber llegado a la víctima desde un usuario desconocido o como un archivo adjunto en un correo electrónico de phishing.
El proceso, es el siguiente:

¿Qué dispositivos corren el riesgo de infectarse con Emotet?
Al inicio, las infecciones solo se detectaban en las versiones más recientes del sistema operativo Microsoft Windows. Sin embargo, a principios de 2019, se supo que las computadoras fabricadas por Apple, también se vieron afectadas por este malware.
Los delincuentes atrajeron a los usuarios a una trampa con un correo electrónico falso del servicio de atención al cliente de Apple, que afirmaba que la empresa “Restringiría el acceso a tu cuenta” si no respondía. A las víctimas se les dijo que siguieran un vínculo para evitar la desactivación y eliminación de sus servicios de Apple.
Tips para protegerse del troyano Emotet
Como en muchos casos de ciberseguridad, la concienciación del usuario final, es fundamental. Es muy importante capacitar a todos los colaboradores para que sepan cómo identificar correos electrónicos y mensajes sospechosos, además de entender cómo funciona una campaña de phishing.
Aunado a ello, las soluciones de seguridad avanzadas ayudan a las organizaciones a mantenerse protegidas:
- La macro maliciosa dentro de la muestra de Excel, se puede desarmar mediante un servicio CDR (Content Disarm & Reconstruction), tecnología para eliminar un código potencialmente malicioso de los archivos.
- Un buen servicio de filtrado web que clasifique todas las URL relevantes como “sitios maliciosos”.
- Bloqueo de archivos de malware por un antivirus.
- Solución de detección y respuesta de endpoint (EDR) para detectar el archivo de Excel y el archivo dll de Emotet como maliciosos, en función de su comportamiento.
Este troyano es uno de los malwares más peligrosos de la historia de la ciberseguridad. Como se puede constatar, cualquiera puede convertirse en su objetivo de ataque.
Desafortunadamente, no existe una solución que proporcione un 100% de protección contra una infección por Emotet. Sin embargo, sí existen varias medidas que se pueden tomar para reducir el riesgo, por lo que hay que valerse de ellas y así disminuir el margen de contagio.
Fuentes de consulta:
Karina. (Marzo 17, 2022). Archivos de Microsoft Office, involucrados en la reciente campaña del troyano Emotet. Computer World. Recuperado de:
https://computerworldmexico.com.mx/archivos-de-microsoft-office-involucrados-en-reciente-campana-del-troyano-emotet/
Hablemos del malware Emotet. (s/f). Hablemos del malware Emotet. Malwarebytes. Recuperado de: https://es.malwarebytes.com/emotet/
Emotet: La mejor manera de protegerte del troyano. (s/f). Emotet: La mejor manera de protegerte del troyano. Kapersky. Recuperado de: https://latam.kaspersky.com/resource-center/threats/emotet