Emotet, una de las botnets más conocidas e investigadas de la actualidad, ahora estaría tratando de infectar a las víctimas con un nuevo módulo que permitiría el robo de Tarjetas de crédito, datos que se encuentran almacenadas en los perfiles de usuario de Google Chrome.
Ya una vez robada la información de la tarjeta de crédito (nombre, mes y año de vencimiento, los números de tarjeta y el código de seguridad), el malware enviará esta información a los diferentes servidores de Command and Control (C2) operados por Emotet con finalidades nada éticas.
La primera detección de este nuevo comportamiento de Emotet, viene por parte de la empresa de ciberseguridad, Proofpoint. Donde se observo que la botnet E4 había abandonado un nuevo módulo de Emotet. Y para sorpresa de los investigadores, era un modulo que realizaba robo de datos de las tarjetas de crédito que se dirigía únicamente al navegador de Google, Chrome.
On June 6th, Proofpoint observed a new #Emotet module being dropped by the E4 botnet. To our surprise it was a credit card stealer that was solely targeting the Chrome browser. Once card details were collected they were exfiltrated to different C2 servers than the module loader. pic.twitter.com/zy92TyYKzs
— Threat Insight (@threatinsight) June 7, 2022
Este cambio de comportamiento se produce después de que se registrara un aumento de la actividad durante el mes de abril y un cambio a los módulos de 64 bits, como lo que detectó el grupo de investigación, Cryptolaemus.
Una semana después de la detección, Emotet comenzó a usar archivos de acceso directo de Windows (conocidos como .LNK) para ejecutar comandos vía PowerShell para infectar los dispositivos de las víctimas, alejándose de las macros de Microsoft Office, que ahora se encuentran deshabilitadas de forma predeterminada a partir de principios de abril de 2022.
Es notorio que Emotet sigue generando estragos en diferentes lugares del mundo. Aunque esta noticia sea una novedad en temas de comportamiento, no es algo del todo nuevo. Ya en el pasado, Emotet era muy conocido en el submundo de la informática y por diferentes investigadores como uno de los troyanos bancarios más prolíficos y activos de aquellos años.
Luego de su pasada de robar datos bancarios, pasaron a infectar a diferentes maquinas con el objetivo principal de ofrecer los servicios de acceso inicial, es decir, cobrar una cierta cantidad de dinero a diferentes actores de amenaza el poder desplegar su malware en el equipo de la víctima sin tantas complicaciones. Un Malware-As-a-Services, en simples palabras.

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.