La red de bots Emotet está intentando infectar a las víctimas potenciales con un módulo de robo de tarjetas de crédito diseñado para recoger la información de las tarjetas de crédito almacenada en los perfiles de usuario de Google Chrome.
Después de robar la información de la tarjeta de crédito (es decir, nombre, año y mes de caducidad, números de tarjeta), el malware envía la información a servidores de comando y control (C2) distintos de los que utiliza el módulo de robo de tarjetas Emotet.
"El 6 de junio, Proofpoint observó un nuevo módulo Emotet lanzado por la botnet E4", dijo el equipo de Proofpoint Threat Insights.
"Para nuestra sorpresa, se trataba de un módulo de robo de tarjetas de crédito que tenía como único objetivo el navegador Chrome. Una vez recogidos los datos de la tarjeta, se exfiltraban a servidores C2 diferentes al del cargador del módulo."
Este cambio de comportamiento se produce después de un aumento de la actividad durante el mes de abril y de un cambio a módulos de 64 bits, como detectó el grupo de investigación de seguridad Cryptolaemus.
Una semana más tarde, Emotet comenzó a utilizar archivos de acceso directo de Windows (.LNK) para ejecutar comandos PowerShell para infectar los dispositivos de las víctimas, alejándose de las macros de Microsoft Office, ahora desactivadas por defecto desde principios de abril de 2022.
El renacimiento de Emotet
El malware Emotet fue desarrollado y desplegado en ataques como un troyano bancario en 2014. Ha evolucionado hasta convertirse en una red de bots que el grupo de amenazas TA542 (también conocido como Mummy Spider) utiliza para entregar cargas útiles de segunda etapa.
También permite a sus operadores robar datos de los usuarios, realizar reconocimientos en las redes vulneradas y desplazarse lateralmente a los dispositivos vulnerables.
Emotet es conocido por dejar caer cargas útiles de troyanos de malware Qbot y Trickbot en los ordenadores comprometidos de las víctimas, que se utilizan para desplegar malware adicional, incluyendo balizas Cobalt Strike y ransomware como Ryuk y Conti.
A principios de 2021, la infraestructura de Emotet fue desmantelada en una acción internacional de las fuerzas del orden que también condujo a la detención de dos personas.
Las fuerzas de seguridad alemanas utilizaron la propia infraestructura de Emotet contra la botnet, entregando un módulo que desinstalaba el malware de los dispositivos infectados el 25 de abril de 2021.
La botnet regresó en noviembre de 2021 utilizando la infraestructura ya existente de TrickBot cuando el grupo de investigación de Emotet, Cryptolaemus, la firma de seguridad informática GData y la firma de ciberseguridad Advanced Intel detectaron que el malware TrickBot estaba siendo utilizado para difundir una carga de Emotet.
Como ESET reveló el martes, Emotet ha visto un aumento masivo de la actividad desde el comienzo del año, "con su actividad creciendo más de 100 veces frente al T3 2021".