Emotet y Trickbot: malware que sigue representando una seria amenaza para la seguridad



Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

Emotet es un tipo de malware o software malicioso que se clasifica como un troyano bancario. Fue descubierto por primera vez en 2014 y se ha convertido en una de las amenazas cibernéticas más prominentes y dañinas en los últimos años. El objetivo principal de Emotet es robar información confidencial, especialmente credenciales bancarias y datos financieros.

Emotet se propaga principalmente a través de correos electrónicos de phishing. Los ciberdelincuentes detrás de Emotet envían correos electrónicos que parecen legítimos y convincentes, a menudo haciéndose pasar por instituciones financieras, empresas reconocidas o servicios de entrega. Estos correos electrónicos suelen contener archivos adjuntos maliciosos, como documentos de Microsoft Word o PDF, o enlaces a sitios web comprometidos.

Una vez que un usuario abre el archivo adjunto o hace clic en el enlace, Emotet se instala en el sistema de la víctima. Una vez infectada, la computadora se convierte en parte de una red de bots controlados por los atacantes, conocida como botnet. Los equipos infectados pueden ser utilizados para enviar correos electrónicos maliciosos, propagar malware adicional y realizar ataques de phishing contra otros usuarios.

Emotet también tiene la capacidad de robar credenciales y contraseñas almacenadas en el sistema, realizar capturas de pantalla, interceptar comunicaciones y descargar y ejecutar otros tipos de malware. Los datos recopilados se envían a los servidores de los atacantes, quienes luego los utilizan para llevar a cabo actividades delictivas, como el robo de identidad, fraude financiero o extorsión.

Debido a su capacidad de propagación masiva y su naturaleza polimórfica, que le permite modificar su código para evadir la detección, Emotet ha sido una amenaza persistente y difícil de erradicar. Sin embargo, en enero de 2021, una operación conjunta entre las fuerzas policiales y agencias de seguridad cibernética de varios países logró desmantelar la infraestructura de Emotet, lo que ha reducido significativamente su alcance. Aun así, es importante estar siempre alerta y tomar precauciones para protegerse contra amenazas cibernéticas como Emotet, como mantener el software actualizado, utilizar programas antivirus y evitar abrir archivos o hacer clic en enlaces sospechosos en correos electrónicos no solicitados.

Emotet es un malware multifuncional que posee varias capacidades y funciones. A continuación, se enumeran algunas de las principales funciones de Emotet:

Distribución y propagación: Emotet se propaga principalmente a través de correos electrónicos de phishing. Los ciberdelincuentes envían correos electrónicos maliciosos con archivos adjuntos infectados o enlaces a sitios web comprometidos. Una vez que un usuario abre el archivo adjunto o hace clic en el enlace, Emotet se instala en el sistema de la víctima y busca expandirse a otros equipos en la red.

Botnet y control remoto: Una vez que se instala en un sistema, Emotet convierte la computadora en un nodo de una red de bots controlada por los atacantes. Esto permite a los ciberdelincuentes tener control remoto sobre los sistemas infectados y utilizarlos para llevar a cabo actividades maliciosas.

Robo de información: Emotet tiene la capacidad de robar información confidencial de los sistemas infectados. Puede buscar y robar credenciales de inicio de sesión, contraseñas almacenadas, datos financieros, correos electrónicos y otra información personal.

Captura de pantalla: Emotet puede tomar capturas de pantalla en los sistemas infectados, lo que permite a los atacantes obtener una vista de lo que está sucediendo en el equipo de la víctima.

Descarga de malware adicional: Emotet tiene la capacidad de descargar y ejecutar otros tipos de malware en los sistemas infectados. Esto incluye ransomware, troyanos bancarios, spyware y otros programas maliciosos que pueden causar daños adicionales o comprometer aún más la seguridad del sistema.

Propagación lateral: Emotet busca propagarse dentro de una red infectada, utilizando técnicas de propagación lateral para moverse de un equipo a otro. Esto puede incluir el robo de credenciales de usuario y el uso de vulnerabilidades en los sistemas para propagarse a otros dispositivos en la misma red.

Polimorfismo: Emotet tiene la capacidad de modificar su código y características para evadir la detección por parte de los programas antivirus y otras soluciones de seguridad. Esto le permite adaptarse y actualizar su comportamiento para evitar ser detectado.

Estas son solo algunas de las funciones principales de Emotet. Es importante tener en cuenta que las capacidades de este malware pueden cambiar con el tiempo, ya que los desarrolladores y los actores maliciosos detrás de él pueden introducir nuevas funcionalidades o técnicas de ataque.

Con respecto a Trickbot, podemos decir que es un malware avanzado y multifuncional que se clasifica como un troyano bancario. Fue descubierto por primera vez en 2016 y desde entonces ha sido una amenaza persistente en el panorama de la ciberseguridad.

Trickbot se propaga principalmente a través de correos electrónicos de phishing, exploits de software y campañas de ingeniería social. Al igual que otros troyanos bancarios, el objetivo principal de Trickbot es robar información financiera y credenciales bancarias para llevar a cabo actividades delictivas, como el fraude bancario y el robo de identidad.

Una vez que se instala en un sistema comprometido, Trickbot realiza una variedad de funciones maliciosas. Algunas de sus características y capacidades incluyen:

Robo de información: Trickbot está diseñado para robar información confidencial, como nombres de usuario, contraseñas, datos bancarios, números de tarjetas de crédito y otra información financiera de las víctimas. Puede monitorear y registrar las actividades en línea de los usuarios, incluidas las interacciones con sitios web bancarios y financieros.

Propagación lateral: Trickbot tiene la capacidad de moverse dentro de una red infectada y propagarse a otros dispositivos en la misma red. Utiliza técnicas de propagación lateral, como el robo de credenciales de usuario y la explotación de vulnerabilidades en los sistemas, para expandir su alcance y comprometer más equipos.

Descarga y ejecución de módulos adicionales: Trickbot es modular y puede descargar y ejecutar módulos adicionales para llevar a cabo diversas funciones maliciosas. Estos módulos pueden incluir capacidades de robo de datos, herramientas de administración remota, herramientas de acceso a sistemas bancarios en línea y herramientas de despliegue de ransomware.

Distribución de ransomware: Trickbot también ha sido utilizado como un vehículo para la distribución de ransomware. Puede desplegar y ejecutar variantes de ransomware, como Ryuk y Conti, en sistemas infectados. El ransomware encripta los archivos del usuario y exige un rescate para su liberación.

Trickbot ha sido asociado con campañas de ciberataques dirigidas a instituciones financieras, organizaciones gubernamentales y empresas en todo el mundo. Además de sus capacidades de robo de información y fraude financiero, Trickbot también se ha utilizado en ataques de spear-phishing, ataques de redireccionamiento de transacciones y ataques de suplantación de identidad.

Emotet y Trickbot están relacionados en el sentido de que han colaborado y trabajado en conjunto en ataques cibernéticos.

En muchos casos, Emotet ha sido utilizado como un vector de distribución para propagar y entregar Trickbot a los sistemas infectados. Emotet se ha utilizado para comprometer y tomar el control de sistemas, y luego Trickbot se descarga y se ejecuta en los dispositivos infectados. Trickbot, a su vez, puede llevar a cabo actividades maliciosas adicionales, como el robo de información financiera, el fraude bancario y el despliegue de ransomware.

Emotet y Trickbot han sido asociados con campañas de ciberataques dirigidas a instituciones financieras, organizaciones gubernamentales y empresas en todo el mundo. Estos dos malwares a menudo trabajan en sinergia, donde Emotet se utiliza para entregar Trickbot a las víctimas y facilitar su propagación.

Es importante tener en cuenta que las relaciones y las colaboraciones entre diferentes grupos de ciberdelincuentes y sus herramientas de malware pueden ser cambiantes y complejas. Los actores maliciosos están constantemente adaptando sus tácticas y colaborando con otros para maximizar su impacto y evadir las defensas de seguridad.

Por lo tanto, la relación entre Emotet y Trickbot puede evolucionar con el tiempo, y es fundamental mantenerse actualizado sobre las últimas amenazas y patrones de ataque en el campo de la ciberseguridad.

Para más información, visite: https://www.silikn.com/