Consejos para no caer en la trampa del correo que infecta con el troyano ‘Emotet’

ESET apunta a que en los correos que ocultaban este troyano "no aparece un remitente sino dos". Esto se debe a que el primero de los remitentes es el que suplanta el 'malware' para hacerse pasar por alguien de confianza.

 Ordenador sindrome posvacacional acierto
Ordenador sindrome posvacacional acierto

El troyano financiero Emotet está teniendo una especial incidencia en España, como han advertido desde la compañía de ciberseguridad ESET. Por eso, detectarlo resultará clave para evitar que infecte nuestro equipo y acceda a la libreta de direcciones de nuestro correo para seguir propagándose.

En los correos electrónicos que ocultaban este troyano "no aparece un remitente sino dos", como apuntan desde ESET. Esto se debe a que el primero de los remitentes es el que suplanta el malware para hacerse pasar por alguien de confianza. El segundo, por su parte, se puede ver en el campo De: o en el Return Path de la cabecera del correo, que pertenece al dominio comprometido por los atacantes y usado para realizar el envío masivo de correos.

"Si el usuario se fija, puede ser capaz de detectar estos correos como fraudulentos y eliminarlos antes de que se conviertan en una amenaza", aseguran desde la compañía.

Este correo, además, tiene un archivo adjunto en formato Word que puede tener varios nombres como 'ARCHIVOFile_H3981.doc', 'MENSAJE_092019.doc', '985832-2019-7-84938.doc' o '61.doc', entre muchos otros.

Precisamente el riesgo se encuentra en este adjunto, ya que si el usuario lo abre, se iniciará la ejecución del software que instalará Emotet en el equipo.

ESET en su investigación, ha abierto estos archivos de Word, en los que se muestra, como explican, un documento legítimo pero con un aviso donde se indica que el archivo se encuentra en un modo de vista protegida y que, para poder ver su contenido, hace falta pulsar sobre la barra amarilla que se muestra en la parte superior con la opción de Habilitar edición.

Se trata de un documento que los cibercriminales usan como "cebo" para que el usuario desactive de forma voluntaria "una de las medidas de seguridad más efectivas de las que dispone Microsoft Office y que impide la ejecución automática de código mediante macros".

Si el usuario finalmente hace lo que le pide el documento, se ejecutarán una serie de macros que, a su vez, ejecutarán código en PowerShell. Este código contacta con dominios comprometidos por los atacantes para descargar un archivo malicioso.

Este archivo malicioso actúa como 'descargador' del archivo que contiene el troyano. Cuando Emotet es descargado y ejecutado en el sistema, "se quedará a la espera para robar credenciales bancarias, aunque también aprovechará para obtener nuevas direcciones de correo a las que propagarse y, dependiendo de la campaña, instalar otro 'malware' en el equipo".

La compañía matiza que "la recepción de este correo y la descarga del Word que adjunta no suponen que el equipo esté comprometido, ya que aún no se ha ejecutado nada". Aun así, recomiendan "estar atentos ante correos sospechosos y no pulsar de forma indiscriminada el primer enlace o adjunto que nos encontremos en nuestra bandeja de entrada".

Archivado en:

Tienes que iniciar sesión para ver los comentarios

Lo más leído