Los actores de la amenaza detrás de Emotet ahora están infectando los sistemas operativos de Windows mediante la instalación de paquetes maliciosos utilizando una función integrada de Windows 10 y Windows 11 llamada «App Installer». Los investigadores ya vieron este mismo método para distribuir en el malware BazarLoader, que instalaba paquetes maliciosos alojados en Microsoft Azure.
Utilizando las URLs y muestras de correo electrónico compartidas por el grupo de seguimiento de Emotet, Cryptolaemus y Malware_Traffic.
#Emotet 2021-11-30 Ivan is again using links to landing pages that leads to a Universal App installer on @azure (in addition to attached xlsm). However they forgot to get a new cert, so it won't work 🤷🤣 pic.twitter.com/eztK9M1s3H
— Cryptolaemus (@Cryptolaemus1) November 30, 2021
Esta nueva campaña de Emotet comienza con correos electrónicos spam de respuesta robados que aparecen como respuesta a una conversación existente con la víctima. Estas respuestas se limitan a decir al destinatario generalmente lo siguiente: «Por favor, vea el archivo adjunto» y contienen un enlace a un supuesto PDF relacionado con la conversación de correo electrónico«.
2021-11-30 (Tuesday) – Got this #Emotet epoch 4 email, and everything's still active and able to infect my Windows lab host. Link from email already reported to URLhaus: https://t.co/4wZXT5zmuf pic.twitter.com/BXSORH8hU9
— Brad (@malware_traffic) December 1, 2021
Al hacer clic en el enlace, el usuario será conducido a una página falsa de Google Drive que le pedirá que haga clic en un botón para previsualizar el documento PDF. Al darle al botón «Preview PDF», no es más que una URL de ms-appinstaller que intenta abrir un archivo de appinstaller, alojado en Microsoft Azure usando URLs en *.web.core.windows.net.
Al intentar abrir un archivo .appinstaller, el navegador de Windows le preguntará si desea abrir el programa Windows «App Installer» para continuar. Una vez que le de en aceptar, se le mostrará una ventana del instalador de aplicaciones que le pedirá que instale el «Componente PDF de Adobe».
El paquete malicioso parece una aplicación legítima de Adobe, ya que tiene un icono legítimo de Adobe PDF, un certificado válido que la marca como «Trusted App» y una información falsa del editor. Este tipo de validación de Windows es más que suficiente para que muchos usuarios confíen en la aplicación y la instalen.
Una vez que el usuario hace clic en el botón «Instalar», App Installer descargará e instalará el appxbundle malicioso alojado en Microsoft Azure. Este appxbundle instalará una DLL en la carpeta %Temp% y la ejecutará con rundll32.exe, como se muestra a continuación.
Y Finalmente, se creará una ejecución automática en HKCUSoftware\Microsoft\Windows\CurrentVersion\Run para lanzar automáticamente la DLL cuando un usuario inicie sesión en Windows. Manteniendo de esta manera, la persistencia y conexión al equipo.
Emotet fue el malware más distribuido en los últimos años, hasta que una operación de las fuerzas del orden cerró y confiscó la infraestructura de la botnet. Diez meses después del operativo, Emotet resucitó al empezar a reconstruirse con la ayuda de TrickBot.
Un día después, comenzaron las campañas de spam de Emotet, con correos electrónicos que llegaban a los buzones de los usuarios con diversos señuelos y documentos maliciosos que instalaban el malware. Estas campañas han permitido a Emotet aumentar su presencia rápidamente y, una vez más, realizar campañas de phishing a gran escala que instalan TrickBot y Qbot.
Las campañas de Emotet suelen conducir a ataques de ransomware. Los administradores de Windows deben estar al tanto de los métodos de distribución del malware y formar a los empleados para que detecten las campañas de Emotet.

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.