Virus Emotet propagado por un ZIP con contraseña a través de emails

Durante marzo 2022 hemos observado que nuestros clientes y nosotros mismos recibimos correos como el siguiente, más abajo explicamos los elementos.

Ejemplo de correo que yo recibí, tu pudiste haber recibido un correo aparentemente de un cliente o algún otro conocido tuyo.

Análisis del correo que yo recibí, el tuyo seguramente será de un conocido tuyo.

Remitente

A simple vista, el correo es enviado por Juan Carlos (CEO de Expediente Azul) a mí, Roberto (CTO de Expediente Azul) y no parece haber ninguna alerta de que sea un PHISHING. Esto es en realidad porque el email viene en efecto de una dirección legítima: n.gabdulmanova@….

Aun cuando no conocemos al remitente, en realidad el correo salió de una cuenta de correo existente y pasó por su SMTP autorizado por lo que los filtros de DKIM y SPF no detectan anomalías. En realidad, lo único que se le cambió fue el nombre del remitente para engañarme, esperando a que no perciba que viene de otra dirección de correo desconocida. Seguramente la cuenta de correo que envió el email es totalmente legítima y es de una persona que tiene su computadora infectada y no tiene ni idea de que me envió un correo.

Analizando otros correos que han recibido clientes y colaboradores míos, en efecto siempre traen el texto de que vienen de alguien conocido, aunque las cuentas de correo son desconocidas y siempre son diferentes y reales. A esto se le conoce como Display Name Spoofing.

Archivo adjunto

Como tal, el archivo adjunto al correo es un ZIP protegido por una contraseña. Dado que está protegido con contraseña, el antivirus no puede ver el contenido directo desde el email recibido y no tiene manera de saber qué hay ahí dentro. De esta manera se brinca los controles de virus a nivel servidores de correos por la Internet.

Para nuestros clientes el pan de cada día es recibir muuuchos archivos, por ende la vulnerabilidad a la que están expuestos y más si parece que vienen de un conocido.

Infección

Al abrir el archivo ZIP, viene un archivo de Excel, que fácilmente podrían nuestros clientes identificar como una solicitud de crédito, relación patrimonial, etc. En efecto al darle doble clic para ver el contenido y extraerlo, se pide la contraseña del ZIP y suceden dos cosas al mismo tiempo: el archivo se abre en Excel y el antivirus lo analiza, pero dado que ya abrí el archivo en Excel hay un periodo de tiempo entre que estoy viendo el archivo de Excel que dice que habilite los macros para poder ver el contenido y el antivirus que me dice que hay un virus. Si el usuario NO cuenta con antivirus de ningún tipo pues ahí ya el usuario nunca se da cuenta. En mi caso Windows Defender de Windows 10 lo detectó como Trojan:Win32/Emotet!ml.

El macro lo que hace es descargar de sitios de terceros, típicamente sitios de WordPress infectados donde los dueños no tienen ni idea que guardan archivos desconocidos, algún DLL que registran como servicio de Windows con regsvr32.exe. Aparentemente es polimórfico por lo que estos sitios van cambiando todo el tiempo al estilo Torrent dónde hay pedacitos por todos lados del virus conforme los van reportando, como por ejemplo éste donde incluso se ve que los binarios van cambiando también.

Políticas creadas en marzo 2022 por empresas globales a raíz de este virus

Recomendación del CTO

Nosotros sugerimos que nuestros clientes, quienes comúnmente procesan una gran cantidad de archivos, hagan una política de NO recibir archivos por email, precisamente para evitar estos temas y pedirles a sus clientes que suban todos sus requisitos en Expediente Azul por seguridad de todos y para dar una mejor atención y seguimiento al proceso de la integración de un expediente.

Otra alternativa tecnológica por la que se ha estado optando es simplemente a nivel servidor de correo borrar todos los ZIPs adjuntos que estén protegidos con contraseñas.

Historia del virus

Este artículo tiene una buena introducción junto con los esfuerzos policiales para combatirlo.

Comunicado enviado por el CTO a todos nuestros usuarios

¡ALERTA! 
Estamos observando que recientemente nuestros clientes están recibiendo emails con un archivo ZIP adjunto y la contraseña para abrirlo en el cuerpo del correo. A simple vista parecen venir de un remitente conocido por ti, inclusive yo mismo he recibido correos que aparentan ser de mis colaboradores y no son detectados por el Antivirus ni por filtros de SPAM. 

ES UN VIRUS 

Por tu seguridad, solicítales a tus clientes que suban su documentación en Expediente Azul en vez de enviártela por correo ya que por error podrías abrir uno de los archivos ZIP e infectar tu computadora cayendo ante un posible secuestro de toda tu información por ciberdelincuentes que ya no te permitan ver los datos en tu disco duro hasta que les pagues. 

Es un excelente momento de crear una política en tu empresa para no aceptar requisitos de los clientes por email, por tu seguridad, por la de ellos y por el excelente seguimiento que puedes brindar con Expediente Azul.

He redactado una nota técnica con los detalles de este virus que se ha venido propagando aceleradamente por Internet a nivel mundial por si deseas entender los detalles o compartirlos con tu área técnica.