Están siendo tiempos complicados para muchos sectores, incluyendo el tecnológico. Los problemas de la cadena de suministro derivados de la pandemia provocada por el coronavirus, la guerra de Ucrania y la inflación disparada han hecho que muchas empresas revisen sus planes de crecimiento y se hayan producido despidos masivos en grandes empresas que, hasta hace poco, no paraban de contratar personal. Esto también se ha trasladado a empresas de tamaño más pequeño que, ante el temor de una posible recesión, intentan ajustar sus cuentas despidiendo empleados.
La temida carta de despido
Así las cosas, no es de extrañar que los delincuentes estén tratando de aprovecharse de la situación para usarla como pretexto en una nueva campaña de correos con malware adjunto. En correos detectados a primera hora de esta mañana podemos ver que se utiliza el asunto de una rescisión de contrato, haciéndose pasar por gerente de recursos humanos y usando el nombre de la empresa a la que va dirigido este correo.
Hemos de reconocer que, como mensaje tematizado, es un buen intento por parte de los delincuentes de captar la atención de aquellos usuarios que abran el correo, aunque hay ciertos errores en la redacción del email que hacen que este parezca demasiado forzado, e incluso que haya sido redactado por alguien que no domina el idioma y se ha apoyado en algún servicio de traducción online.
Sin embargo, no debemos olvidar que algunos delincuentes ya están usando herramientas de inteligencia artificial como ChatGPT para redactar mensajes mucho más creíbles, por lo que, ante este tipo de comunicaciones, es mejor contactar con algún superior para confirmar o desmentir la autenticidad del correo antes de precipitarse y abrir el fichero adjunto o pulsar sobre un enlace introducido en el cuerpo del mensaje.
Para convencer al usuario que recibe este correo electrónico de que abra el fichero adjunto, se le indica que este contiene un recibo de sueldo de 2 meses, un gancho lo suficientemente atractivo para quien crea que se acaba de quedar sin trabajo. Sin embargo, dentro del fichero comprimido en formato RAR se encuentra un archivo ejecutable EXE encargado de iniciar la infección del sistema.
Detectando a Formbook
Teniendo en cuenta las continuas campañas recientes protagonizadas por infostealers o ladrones de información, no es de extrañar que sospechemos estar ante un nuevo caso de este tipo de códigos maliciosos. Tras ejecutarlo en la sandbox de ESET vemos como no estamos equivocados y se detecta un nuevo caso de Formbook, que es, junto con Agent Tesla, el mayor representante de este tipo de malware en España y en buena parte del mundo.
Una de las características de este malware son las comunicaciones que hace con varios de sus centros de mando y control (C&C) para recibir instrucciones cifradas. Estos C&C se encuentran repartidos por todo el mundo y, normalmente, son webs legítimas que han sido previamente comprometidas por los delincuentes.
También observamos como, en última instancia, el malware descarga el instalador de SQLite, muy probablemente para recopilar las credenciales robadas y enviarlas en un formato de base de datos que pueda ser manejado por los delincuentes de forma sencilla.
La prioridad del malware Formbook sigue siendo el robo de credenciales almacenadas en aplicaciones de uso cotidiano tales como clientes de correo, navegadores de Internet, clientes FTP o VPNs. Este comportamiento malicioso puede detectarse por las soluciones de seguridad si el malware no ha sido detectado antes cuando estaba en el fichero adjunto del correo, una vez se descarga al disco o cuando se ejecuta y se carga en memoria.
Es importante aplicar las medidas adecuadas para detectar y bloquear este tipo de ataques, ya que aunque a primera vista el robo de credenciales no parezca algo grave para muchas empresas, suele ser la antesala de ataques más peligrosos que pueden comprometer toda la red e incluso sustraer y cifrar información confidencial.
Conclusión
No hay temática que se les escape a los delincuentes si creen que usándola pueden lograr nuevas víctimas. Por ese motivo debemos ser precavidos y desconfiar de correos no solicitados, aunque vengan supuestamente desde departamentos internos de nuestra empresa. Si contamos además con soluciones de seguridad efectivas, conseguiremos bloquear estas amenazas incluso antes de que lleguen a nuestra bandeja de entrada.