La utilización de correos electrónicos para el envío de adjuntos maliciosos es una técnica bien conocida y que los delincuentes llevan usando desde hace muchos años. Eso no impide que actualmente sigan teniendo buenos resultados, y prueba de ello son los numerosos ejemplos que venimos analizando desde hace meses y que utilizan ficheros presentados como supuestas facturas o confirmaciones de pedido para engañar al usuario.
Emails con adjuntos maliciosos
En los correos que venimos observando desde hace unos días vemos como los delincuentes hacen referencia a una serie de facturas o comprobantes de pedido adjuntos al correo. Estos correos suelen venir redactados en inglés, por lo que su impacto entre usuarios españoles se limita a aquellos que hagan negocios con empresas extranjeras o a empleados demasiado curiosos. Lo que parece claro es que van dirigidos a empresas y no tanto a usuarios particulares.
En las imágenes anteriores vemos como los ficheros adjuntos han sido identificados tanto por la solución de seguridad ESET instalada en el sistema que ha recibido el email como por el servidor de correo por el que pasó. No obstante, en el caso de que el fichero malicioso llegue sin ser detectado, podemos ver como este presenta una doble extensión para hacer creer que se trata de un archivo PDF cuando en realidad estamos ante un fichero comprimido.
Al tratar de abrirlo podemos ver su verdadero contenido, un fichero ejecutable que contiene el malware que inicia la cadena de infección y que es detectado por las soluciones de ESET como una variante del troyano MSIL/Kryptik.ZQU, encargado de conectarse a alguna de las IPs usadas por los delincuentes para descargar el malware Formbook.
Finalidad del malware
El malware Formbook tiene como finalidad principal el robo de información del sistema que infecta y es usado por delincuentes con pocos conocimientos técnicos debido a su distribución de malware como servicio. Los desarrolladores de este malware se encargan de preparar tanto las nuevas variantes del malware como la infraestructura, mientras que los delincuentes que lo usan se encargan de conseguir nuevas víctimas para robarles información que pueda ser de interés o se pueda usar con otras finalidades que les genere algún tipo de beneficio.
Aun a pesar de ser un malware pensado para ser utilizado por principiantes en el mundo del cibercrimen, Formbook dispone de capacidades avanzadas para robar información, inyectándose en programas concretos. Entre estas capacidades encontramos las de buscar por archivos o procesos específicos, interactuar con ellos e incluso tomar capturas de pantalla. Su cadena de infección suele ser similar a la que vemos a continuación.
Entre las actividades sospechosas que se utilizan para detectar este tipo de malware encontramos la conexión a centros de mando y control empleados por los delincuentes para enviar los comandos que permiten ejecutar las acciones de búsqueda y robo de información en los sistemas infectados. Además, en esta campaña se ha observado la utilización de numerosos sitios comprometidos en varios países que se utilizan para descargar el payload del malware.
En conclusión, estamos ante una amenaza que, a pesar de no ser especialmente avanzada, es usada por un número importante de delincuentes para acceder a sistemas de empresas de todos los tamaños y robar información. Entre esta información podemos encontrar documentación confidencial y contraseñas de todo tipo de aplicaciones y servicios, información que puede venderse a otros delincuentes y usarse en ataques más dirigidos y que pueden terminar con un compromiso más grave de la empresa atacada.
Conclusión
No deberíamos subestimar una amenaza solamente por su baja complejidad o porque sea utilizada por delincuentes sin habilidades técnicas destacables. Solo hace falta un descuido o un sistema con una protección inadecuada para que una de estas amenazas consiga acceder a nuestros sistemas, algo especialmente peligroso si se trata de una red corporativa por la información que se puede sustraer.