En estos últimos días ha saltado otra vez a la palestra el troyano Emotet, toda una obra maestra de ingeniería de programación, pero dedicada a hacer el mal, y por dos cuestiones totalmente diferentes.

Ya nombramos a Emotet en una entrada de septiembre del año pasado, que era cuando estaba en auge. Este software se instala en los pcs, y como al principio no hace nada “malo”, pasa desapercibido con alguna de sus variantes, a los antivirus.

Es un contenedor, osea, que instala plugins a medida, según sector, país, etc…. digamos que el que creó el software, e infectó a ordenadores, vende campañas a medida a otros piratillas, que no se hacen su software.

Casi siempre se ha usado en España para robar datos bancarios, pero ha habido otras versiones, o como hemos dicho, otros plugins/campañas.

Pues una de estas noticias, que recoge Zdnet, y según el grupo hacker Cryptolaemus, ha logrado sustituir una buena parte de estas descargas de payloads, por Gifs animados. Según este grupo, quien creó Emotet, utilizó unas librerias opensource que se encuentra en Github, y que hace que las transferencias de los payloads no sean de forma segura.

Y la segunda, la semana pasada, es que “ha regresado” Emotet. Es una campaña dirigida a empresarios americanos, que se ha podido cuantificar en algo más de un cuarto de millón de emails, y que quieren entrar con la excusa de la factura.

El autor de esta campaña es el grupo TA52, y con este gancho, lo que intenta es instalar el propio Emotet o contenedores adicionales.

Y aunque para lo que más se ha usado este malware es para el robo de credenciales bancarias en ciertos países, puede estar inactivo esperando su addon, o robar credenciales de WordPress para tener sitios donde alojar material infectado, o hacer campañas a los contactos del infectado.

Y si creéis que habéis sido infectados, AQUÍ un artículo de INCIBE donde se os explica en detalle de como examinar vuestro equipo, o como limpiarlo si es necesario.