Emotet, una de las redes de bots más peligrosas del mundo, ha cobrado vida tras un paréntesis de cinco meses y una vez más comenzó a enviar correo no deseado destinado a entregar una puerta trasera que instala ransomware, troyanos bancarios y otros tipos de malware.
Según Malwarebytes Labs, los primeros signos de una campaña de malspam se detectaron el 13 de julio, luego, varios días después, el 17 de julio, las botnets de Emotet comenzaron a difundir activamente mensajes de spam utilizando las mismas técnicas, como en campañas maliciosas anteriores.
Los correos electrónicos maliciosos contienen una URL o un archivo adjunto que vincula a archivos maliciosos de Word. Una técnica familiar es que el documento se envíe como respuesta dentro de los hilos de correo electrónico existentes. El documento malicioso contiene una macro muy ofuscada que, cuando está habilitada, inicia PowerShell para recuperar el binario Emotet de uno de los sitios web remotos comprometidos. Una vez que se ejecuta la carga útil, enviará una confirmación a uno de los servidores de comando y control de Emotet.
Según Sherrod DeGrippo, director senior de investigación y detección de amenazas en la firma de seguridad Proofpoint, se ha observado que la botnet envía 250,000 mensajes durante el día, principalmente a víctimas en los Estados Unidos y el Reino Unido. Según otros investigadores que han estado observando las actividades de Emotet, los objetivos también se ubicaron en el Medio Oriente, América del Sur y África.
La botnet Emotet es conocida por lanzar campañas masivas que generalmente duran cortos períodos de tiempo y luego permanecen inactivas durante semanas o meses. Fiel a su MO, la última campaña de Emotet se detuvo por completo el 18 de julio.
