Investigadores de seguridad han analizado al grupo de actores de amenazas denominado TA542 desde 2014, cuando surgieron los primeros informes sobre la aparición de esta amenaza (también conocida como Geodo). Ahora en 2019, el grupo TA542, utiliza la última versión de este malware, lanzando campañas de correo electrónico generalizadas a escala internacional que afectan a América del Norte, América Central, América del Sur, Europa, Asia y Australia.
Las versiones anteriores de Emotet en un principio, tenían un módulo que se usaba para cometer fraudes bancarios, dirigido específicamente a bancos alemanes, austriacos y suizos, y durante años, el malware se clasificó ampliamente como un troyano bancario. Sin embargo, las versiones posteriores de Emotet ya no solo se dedicaban a cargar su propio módulo bancario, en su lugar, se carga con malware bancario de terceros. Recientemente, hemos observado que Emotet suministra cargas útiles de terceros como Qbot, The Trick, IcedID y Gootkit. Además, se han añadido múltiples funciones: spam, robo de credenciales, recolección de correos electrónicos, entre otras.
TA542 normalmente distribuye campañas de correo electrónico de gran volumen que consisten en cientos de miles o incluso millones de mensajes dirigidos a todas las industrias. Este grupo, es uno de los actores más conocidos en todo el panorama de amenazas; debido al alcance internacional y la estrategia de campaña de gran volumen, con ello se estima que el uso de Emotet continúe creciendo en los próximos trimestres.
La versión 1.0 de Emotet se originó alrededor de mayo de 2014 como un troyano bancario como se explicaba al inicio, que al principio solo se sabía que cargaba su propio módulo bancario dirigido a los bancos alemanes y austriacos.
La versión 2.0 se detectó en otoño de 2014, la nueva variante empezó a usar el Sistema de Transferencia Automática (ATS), y poseía una estructura modular con un módulo de correo no deseado, un módulo bancario, un módulo DDoS y un módulo de robo de libreta de direcciones.
La versión 3.0 de Emotet apareció en enero de 2015, con modificaciones ocultas diseñadas para evitar ser detectado por soluciones de antivirus o detectores de malware, comenzando a apuntar a bancos suizos.
La versión 4.0 se observó inicialmente el 1 de diciembre de 2016, extendiéndose a través del kit de explotación RIG 4.0. Los investigadores observaron que esta variante se difundió a través de correos electrónicos con enlaces a archivos ejecutables comprimidos o por medio de JavaScript en febrero de 2017. A partir de abril de 2017, TA542 comenzó a distribuir esta versión constantemente en campañas de gran envergadura. Esta versión no utiliza su propio módulo bancario, pero principalmente carga otros módulos y malware bancario de terceros.
País
|
Idioma
|
Nota
|
Alemania
|
alemán
|
Objetivo constante
|
Austria
|
alemán
|
Objetivo intermitente: primer objetivo en 2015;
desde entonces, con objetivos intermitentes hasta el 9 de abril de 2019, cuando se observaron objetivos regulares |
Suiza
|
alemán
|
Objetivo intermitente: primer objetivo en 2015;
desde entonces, con objetivos intermitentes hasta el 9 de abril de 2019, cuando se observaron objetivos regulares |
Reino Unido
|
inglés
|
Objetivo constante.
|
Estados Unidos
|
inglés
|
Objetivo constante.
|
Canadá
|
francés
|
Objetivo intermitente.
|
Japón
|
japonés
|
Campañas el 12-16 de abril de 2019.
|
China, Hong Kong, Taiwán
|
chino
|
Campañas el 12-16 de abril de 2019.
|
Australia
|
inglés
|
Se observan varias campañas en abril de 2019.
|
América latina
|
español portugués
|
Se observan regularmente los países
seleccionados en esta región, incluyendo: México, Uruguay, Argentina, Colombia, Chile, Bolivia, Paraguay, Brasil, Ecuador, Costa Rica, El Salvador, Guatemala |
Caribe
|
español
|
República Dominicana.
|
Polonia
|
polaco
|
Campaña en 2017, y la última registrada,
dirigida a Polonia el 15 de mayo de 2019 |
COMENTARIOS