¡Pide presupuesto en 2 min! ✓
Ciberseguridad

Emotet: Conoce mejor este malware para poderlo prevenir y eliminar

6 Mins read

En esta entrada vamos a hablaros de Emotet, un tipo de malware que lleva ya un tiempo entre nosotros, pero que sigue muy presente y dando problemas haya donde infecta un equipo. Os explicamos cómo funciona, cómo prevenirlo y cómo eliminarlo.

¿Qué es Emotet?

Emotet es un malware de tipo troyano, es decir, se trata de un virus informático que puede infectar nuestros equipos para robarnos credenciales bancarias, datos e información y de paso, reenviarse a las direcciones de nuestra libreta de contactos haciéndose pasar por nosotros.

La historia de este malware que empezó como un troyano bancario

Aunque Emotet sigue activo en 2020 y lleva siendo un problema para la ciberseguridad desde 2014, cuando comenzó como troyano bancario. Actulamente ha evolucionado para convertirse en un propagador de otros malwares, como Trickbot y Ryuk. Así que ahora, aparte de dedicarse a su objetivo principal, que es el robo de credenciales bancarias, también infecta nuestro equipo con otros virus.

Además, Emotet es un troyano polimórfico, lo que quiere decir que puede modificarse para conseguir otro tipo de datos más allá de las credenciales bancarias, como cuentas de correo, datos informáticos o credenciales de usuario.

¿A quién se dirige Emotet?

Las principales víctimas de Emotet son las organizaciones gubernamentales, las corporaciones y las pymes, pero eso no quita que los usuarios particulares puedan estar en riesgo.

De acuerdo con Confese Labs, en 2019 los desarrolladores de Emotet se dirigían a cerca de 66.000 direcciones de correo electrónico.

¿Cómo se propaga Emotet?

Emotet utiliza un método de propagación bastante clásico; llega a través de un correo malicioso con enlaces o archivos adjuntos, con mensajes breves y intrigantes para lograr que el usuario los abra y descargue el archivo. Puede parece un método sencillo con pocas probabilidades de éxito hoy en día, que estamos más atentos a estas cosas, pero lo cierto es que este tipo de emails ha evolucionado también; están bien redactados, generalmente en nuestro idioma y utiliza asuntos breves para picar la curiosidad de la víctima (como “Propuesta”, “Respuesta” o “Nueva Plantilla”).

El cuerpo de estos correos en sí no ofrecen apenas información, lo que nos remite al enlace o archivo adjunto; si la víctima se siente intrigada y, además, el remitente es una dirección conocida (recordamos que Emotet se hace con nuestra libreta de direcciones para reenviarse a nuestros contactos), es relativamente fácil que acabe descargando y abriendo el archivo.

El documento descargado parece legítimo y al abrirlo en Microsfot Office (normalmente suele ser un documento de esta familia), se nos avisa de que estamos viendo un documento en modo de vista protegida, de manera que aparece la barra amarilla con un botón que permite deshabilitar la protección contra la ejecución de macros en el documento.

Es en esas macros donde se encuentra el código que ejecutará el malware en nuestro equipo. Debéis tener en cuenta que el sistema de protección para bloquear macros se habilitó precisamente para evitar estos ataques, por lo que deberías mantenerlo siempre activado y desconfiar de cualquier archivo que os pida deshabilitar esta protección, a no ser que sea de vuestra entera confianza.

Para lograr que las víctimas acaben picando y ejecutando las macros, los ciberdelicuentes incluyen una imagen al documento que simula un mensaje de error del editor, insistiendo en la necesidad de desactivar la protección para poder visualizar el contenido. Si finalmente se hace, se activan una serie de macros que ejecutan un código PowerShell iniciando la infección del equipo. Este código se conecta con los servidores de los atacantes para descargar el instalador del troyano Emotet, ejecutarlo y camuflar su ejecutable para dificultar su detección.

Cuando eso ha ocurrido, Emotet se mantendrá oculto a la espera de que el usuario acceda a algún servicio bancario o de pago online para comenzar a robar sus datos bancarios de usuario. O para robar cualquier información que sea su objetivo o propagar otros malwares.

Además y, como ya comentamos, Emotet se hará con nuestra libreta de direcciones para enviar correos masivos con el archivo infectado, en los que nuestra dirección aparecerá como remitente.

Como funciona Emotet

Medidas preventivas efectivas frente al troyano Emotet

Podremos prevenir un ataque de este troyano. Vamos a ver esta prevención, que servirá tanto el usuario particular como para las empresas.

A nivel particular, la principal línea de defensa es no fiarse de los correos con archivos adjuntos o enlaces que parezcan mínimamente sospechosos, incluso cuando el remitente es un contacto conocido, si sospecháis del archivo adjunto o el enlace, no lo descarguéis o pinchéis en él.

Si aún así tenéis curiosidad, para comprobar este tipo de enlaces y archivos, desde el INCIBE nos recomiendan utilizar herramientas como VirusTotal y URLhaus para analizarlos. Ambas herramientas pueden analizar e indicar si un enlace es malicioso o peligroso, mientras que con VirusTotal también podemos analizar archivos, pero tened en cuenta que en el momento que se analice, la información contenido dejará de ser confidencial.

También es importante mantener activada la protección contra la ejecución de macros de terceros en nuestras aplicaciones de Microsoft Office y no deshabilitarla si no estamos completamente seguros del origen del archivo.

Otra forma de prevenir las infecciones de Emotet es monitorizar las posibles fuentes de infección utilizando identificadores de compromiso, como dominios web, direcciones IP y hashes. Para ello, se debe configurar el firewall o la herramienta de seguridad que estéis utilizando para bloquear estos sitios fraudulentos.

Una forma de prevención que no puede faltar y que en otras entradas sobre ciberseguridad ya hemos mencionado, es la necesidad de tener actualizados a la última versión todos los softwares instalados en nuestros equipos, desde el sistema operativo, pasando las extensiones, hasta los antivirus y antispam. Si tenemos nuestros equipos actualizados, estarán prevenidos y protegidos contra las últimas amenazas.

Las empresas querrán tener sus redes lo más segmentadas posible, de manera que los accesos de determinadas áreas y niveles estén restringidos para los usuarios en función de lo que necesiten para el desarrollo de sus tareas. Implementar soluciones de seguridad Zero Trust o redes de confianza cero es una opción a tener en cuenta.

Finalmente, en el Centro Criptológico Nacional (CCN-CERT) tenemos disponible la herramienta Emotet-stopper, una vacuna que podemos instalar en todos los equipos Windows y que nos ayudará a protegernos ante el ataque de este malware. Además, antivirus como Kaspersky, Avast o Panda Security (por nombrar algunos) pueden detectarlo en los equipos infectados.

¿Cómo eliminar Emotet?

Si resulta que nuestro equipo ha sido infectado por Emotet, lo primero que debemos hacer, en caso de estar conectados a la red de la empresa, es desconectar el equipo infectado de la red lo antes posible para evitar que se contagie más equipos.

El siguiente paso será localizar dónde está alojado para detener el proceso mediante el administrador de tareas y pasar a eliminarlo del equipo. Para esto último es posible que necesitemos actualizar tanto el sistema operativo como los antivirus; al estar desconectados de la red, tendremos que instalarlos de manera manual, para ello los descargaremos en una memoria USB o un DVD y los instalaremos desde ahí en el equipo infectado.

Una vez hecha esa instalación, analizaremos en profundidad el sistema, preferiblemente ejecutando el análisis del antivirus durante el arranque del sistema (la mayoría de antivirus cuenta con esta opción) o en el modo seguro de Windows, lo que nos permitirá detectarlo y pasar a eliminarlo.

EmoCheck

Para detectar la posible infección de Emotet existe una herramienta llamada EmoCheck, desarrollada por el CERT de Japón, que podemos encontrar en GitHub para descargar. Funciona en sistemas de 32 y 64 bits y su uso es muy sencillo; basta con descargar la versión correspondiente y ejecutarla (es un archivo .exe, así que en cuento pinchéis en ella se ejecutará).

Al ejecutar EmoCheck nos aparecerá una ventana en la que se nos mostrará un mensaje de aviso:

  • “No detection” si el equipo no está infectado.
  • Y si lo detecta, ofrecerá información para su desinfección, así como el nombre del proceso, el identificador del proceso (o PID) y la ruta absoluta en la que se encuentra alojado.

EmoCheck también genera un informe en la misma ruta donde se ejecutó la herramienta con la información sobre el análisis.

Últimas noticias

Como dijimos al principio, aunque Emotet lleva activo desde 2014, recientemente se detectó un repunte importante de la campaña de ataques de este tipo de malware.

Esta campaña comenzó en septiembre de 2019 y fue a escala mundial, utilizando diferentes métodos para intentar infectar equipos que utilizan Microsoft Windows. En esta campaña Emotet cuenta con módulos propios para realizar diversas acciones.

Por esto es importante mantener nuestros softwares actualizados a sus últimas versiones, tener activas todas las medidas de seguridad (firewall, antivirus, antispam, etc.) y desconfiar de correos sospechosos con enlaces o archivos adjuntos. Ya que Emotet no solo nos puede robar nuestros datos bancarios (con todo lo que ello implica), sino que además puede infectar nuestro equipo con otros virus igual o más problemáticos.

Avatar

About author
Licenciada en Periodismo por la Universidad Complutense de Madrid. Redactora de contenidos informativos, jurídicos y empresariales, Internet, nuevas tecnologías, entorno digital, ciberseguridad y protección de datos.
Articles
Related posts
Ciberseguridad

¿Qué es un pixel de seguimiento y cómo funciona?

11 Mins read
Píxeles de seguimiento, retargeting píxeles, píxeles de conversión, independientemente de cómo lo llames, un píxel puede ayudarte a aumentar las ventas y…
Ciberseguridad

HOAX: Los 11 bulos más famosos de la historia

15 Mins read
Seguro que te habrán enviado alguna vez un mensaje como: “Un virus quemará tu disco duro.” “Mark Zuckerberg está regalando su dinero.”…
Ciberseguridad

¿Qué es el riskware o software de riesgo?

9 Mins read
Ya sea que lo usemos principalmente en casa o en el trabajo, Internet no siempre es un lugar seguro. Como profesionales de…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.