Los hackers ‘leen’ a Edward Snowden.

Lo primero que hackee en mi vida fue la hora de acostarme. Me parecía injusto que mis padres me obligasen a irme a la cama, y encima antes que ellos, antes que mi hermana, y cuando ni siquiera estaba cansado. Fue la primera injusticia que viví”.

Vigilancia permanente. Edward Snowden.

Así comienza “Permanet Register” (Vigilancia permanente en España) el libro de memorias de Edward Snowden que los autores del troyano Emotet han utilizado como señuelo, en su reaparición, tras casi cuatro meses de inactividad.

Difícil resistirse con solo hacer click a tener  las memorias del exconsultor informático de la Agencia Nacional de Seguridad (NSA). Al menos eso debieron de pensar los cibercriminales, cuando decidieron utilizar el libro de Snowden como señuelo en una nueva campaña de spam malicioso de Emotet. Yo porque soy un romántico del papel y ya le he hecho hueco en mi estantería, que si no… 

Los autores del malware afirmaban en un correo electrónico que el libro de Snowden había sido prohibido y lo ofrecían, totalmente gratis, como un archivo  adjunto malicioso en formato Word (que se trataba de un archivo malicioso no lo decía por ningún lado).

Emotet Snowden Spam  (Fuente: Malwarebytes)

Descripción del ataque

Al abrir el documento aparece un mensaje falso informando de que  «Word no se ha activado» solicitando a las víctimas que habiliten el contenido con una advertencia de seguridad resaltada en color amarillo. Al hacer clic en el botón de habilitar contenido de dicha advertencia no parece que pase nada, sin embargo, lo que los usuarios no ven es el código malicioso que se ejecutar y que descarga Emotet en el equipo. Tras efectuarse la descarga de forma exitosa, el troyano se ejecutará silenciosamente en segundo plano y descarga e instala otro malware en la computadora (posiblemente Trickbot) conectándose a un servidor de Comand and Control (C&C). Una vez infectados los equipos de las víctimas, los piratas informáticos pueden utilizar el malware para robar datos financieros de los usuarios o instalar ransomware. Los investigadores encontraron correos electrónicos temáticos de Snowden en inglés, italiano, alemán, francés y español.

Emotet Snowden Spam  (Fuente: Malwarebytes)

Si tenemos en cuenta el modus operandi habitual de los autores de Emotet, que generalmente consiste en el envío de correos electrónicos que simulan ser facturas u otro tipo de documentos financieros o comerciales, podríamos afirmar que esta nueva campaña de phising es novedosa y no está exenta de excentricidad.

Emotet, descubierto por Trend Micro en 2014, está considerado uno de los troyanos más peligrosos y destructivos de internet de los últimos años. Ha estado presente en multitud de campañas de phishing afectando a la seguridad de los usuarios en múltiples dispositivos y diferentes sistemas operativos. Con los años ha evolucionado y expandido por distintas industrias y regiones de todo el mundo, y ha ido desarrollando diversas técnicas de evasión de pruebas y análisis. Además, Emotet no se detiene en una máquina infectada ya que puede propagarse a otros equipos conectados a una red y llevar a cabo una propagación lateral.

Edward Snowden, que permanece exiliado en Rusia desde que  en junio de 2013 dejara al gobierno de los  Estados Unidos ‘con el culo al aire’  al filtrar los detalles del programa de vigilancia masiva a nivel mundial de la NSA (National Agency Security), ha sido demandado por el Departamento de Justicia de estadounidense por publicar el libro sin el permiso de la agencia de seguridad nacional americana. Estados Unidos ha pedido a un juez federal que otorgue al gobierno todas las ganancias que Snowden obtenga por el libro.

Fuentes consultadas.

Si te ha gustado, ayúdame a difundirlo :)