El troyano financiero Emotet, tiene como objetivo infectar el equipo para poder acceder a los contactos y poder seguir propagándose mediante nuestros correos. Además, este troyano está teniendo bastante incidencia en España.
En este troyano, tenemos dos remitentes. El primero de ellos, es el que suplanta el malware y el segundo, es el dominio de los atacantes desde donde envían los correos comprometidos.
Lo más importante, es enviar a la carpeta de spam el correo para que no tengan otra oportunidad de infectarnos, para poder saberlo tenemos que fijarnos en el archivo adjunto de formato Word ya que siempre lleva tres nombres: ‘ARCHIVOFile_H3981.doc’, ‘MENSAJE_092019.doc’, ‘985832-2019-7-84938.doc’ o ’61.doc’.
Si por alguna casualidad, el usuario abre el archivo lo que va a ocasionar es que instale Emotet en el equipo que estemos usando.
En ese momento se abrirá Word, y se activara la barrera de seguridad de Word, que es la imposibilidad de modificar el documento ya que tiene vista protegida, y para poder modificarlo tienes que pinchar en Habilitar edición. Así que, cuando pinchemos ahí hemos desactivado la seguridad de Microsoft Office, pudiendo ejecutar Emotet en nuestro equipo.
Este método es usado por los cibercriminales para infectar nuestros equipos, y si hacemos lo que nos pide el documento Word, se ejecutará un código PowerShell, el código contacta con un dominio de los cibercriminales.
El archivo malicioso inicia su descarga, y el equipo se queda en espera, para robar todas las credenciales bancarias, direcciones y propagarse, dependiendo de si el equipo es importante o no, va a instalar otro malware en el equipo.
Por lo que, aun cuando descargamos Word no estamos en un territorio comprometido ya que no se ha ejecutado Emotet todavía, hasta que no pinchemos en Habilitar edición, aun así se nos recomienda no descargar ningún tipo de estos correos.
