El malware Formbook sigue con sus campañas de robo de información dirigidas a empresas

Tal y como viene siendo habitual cada pocas semanas, el malware Formbook ha lanzado durante esta semana una nueva campaña de propagación dirigida principalmente a empresas. Esta amenaza está especializada en el robo de información como contraseñas guardadas en aplicaciones tales como navegadores de Internet o clientes de correo, algo que, posteriormente, puede provocar ataques más peligrosos.

Un correo con trampa

El malware Formbook se caracteriza por utilizar el correo electrónico para propagarse y tratar de conseguir nuevas víctimas. En numerosas ocasiones hemos analizado sus tácticas y procedimientos en este blog, lo que nos ha servido para comprobar cómo los delincuentes suelen enviar correos desde cuentas previamente comprometidas.

En varios de los ejemplos analizados previamente hemos visto que los emails dirigidos a empresas españolas tenían como remitentes otras empresas españolas de las cuales los delincuentes habían podido obtener algunas credenciales de email. Sin embargo, Formbook actúa en muchos países y no es extraño ver cómo estos mensajes se envían también desde los correos de empresas extranjeras, como en esta ocasión.

Al revisar el correo podemos comprobar que se ha usado el email de una empresa alemana previamente comprometida por el malware para enviar un mensaje en español. El asunto de estos mensajes suele estar relacionado con facturas, presupuestos o catálogos de productos y van dirigidos especialmente a departamentos de administración o comerciales, acostumbrados a lidiar con varios mensajes legítimos de este tipo a diario.

En esta ocasión vemos como el cebo utilizado es un supuesto pedido de productos, usando la miniatura de una supuesta hoja de cálculo en Excel para tratar de convencer a los usuarios que reciban este email para que pulsen sobre ella.

Descarga y ejecución de Formbook

Si alguno de los receptores de este correo cae en la trampa y pulsa sobre la supuesta hoja de cálculo, se procederá a la descarga de un archivo ISO alojado en la red de distribución de contenidos (o CDN por sus siglas en inglés) de Discord. Alojar malware en este tipo de redes es una táctica que se vuelto común desde hace meses y está siendo usada por varias familias de malware para tratar de evitar el bloqueo de la descarga de las amenazas por parte de las soluciones de seguridad.

El uso del formato ISO también es algo que hemos visto en ocasiones anteriores para tratar de evadir la detección, al tratarse de un formato que no suele despertar sospechas entre los usuarios, a pesar de que se puede ejecutar sin problema en un sistema Windows. De hecho, si revisamos el contenido de este archivo ISO observamos que en su interior se encuentra un fichero con doble extensión .pdf.exe.

Este es el fichero responsable de la infección del sistema y el que procederá a revisar las credenciales almacenadas en aplicaciones tales como navegadores de Internet, clientes de correo, clientes FTP o VPNs, entre otros. Estas credenciales luego se utilizan para acceder a la red corporativa y comprometerla con otras amenazas como el ransomware, robar información confidencial o para enviar emails a nombre de la empresa a potenciales víctimas.

Las soluciones de seguridad de ESET identifican esta amenaza como una variante del troyano Win32/Injector.EQEZ.

Además, Formbook es conocido también por monitorizar y registrar las pulsaciones que realiza el usuario en el sistema, además de ser capaz de descargar y ejecutar archivos según las indicaciones de su centro de mando y control. Precisamente, al analizar esta muestra pudimos comprobar como el centro de mando y control se encontraba alojado en la web de una correduría de seguros andaluza.

Conclusión

El malware especializado en el robo de información o infostealer ha experimentado un importante crecimiento desde hace tiempo. Gracias al robo de credenciales de todo tipo de servicios corporativos, los delincuentes pueden realizar acciones posteriores muy peligrosas para la información que almacenan las empresas, por lo que resulta crucial saber identificar este tipo de correos maliciosos y contar con soluciones de seguridad capaces de bloquearlas antes de que lleguen al buzón de entrada de los usuarios.

Josep Albors

El troyano bancario FluBot regresa con una falsa alerta de seguridad como gancho