Segunda quincena de julio. Calor, mucho calor y media España de vacaciones relajándose en la playa, la montaña o donde buenamente pueda. Sin embargo, y aunque las detecciones de amenazas suelen caer durante este periodo, tal y como podemos comprobar en nuestros informes periódicos de amenazas dirigidas a España, hay algunos delincuentes que no descansan ni durante las vacaciones.
Facturas, pagos y otras excusas para hacernos caer en la trampa
Sabiendo que todo aquello relacionado con dinero y, especialmente, lo que toque nuestra cartera, suele despertar especial interés en el usuario medio español, no es de extrañar que estos asuntos sean los más utilizados en las plantillas de los correos que preparan los delincuentes para tratar de conseguir nuevas víctimas.
Estos correos maliciosos pueden ser más o menos genéricos y estar más o menos elaborados, tal y como hemos estado viendo durante estos últimos años. Sin embargo, todos tienen la misma finalidad, que no es otra que conseguir engañar al receptor de este mensaje para que descargue y ejecute el fichero adjunto o pulse sobre el enlace proporcionado. Veamos dos ejemplos recientes analizados en nuestro laboratorio.
El primero de estos correos está redactado tanto en inglés como en un correcto español y suplanta la identidad de Banco Santander, adjuntando un fichero con información de una supuesta transferencia y, paradójicamente, ofreciendo consejos de seguridad. Por su parte, el otro correo analizado viene directamente en inglés, es breve y nos informa que en el fichero adjunto hay información relacionada con un pedido.
Las plantillas de estos correos son diferentes pero ambos persiguen la misma finalidad: conseguir que descarguemos y ejecutemos el fichero adjunto al email. Si echamos un vistazo al contenido de estos ficheros (ambos comprimidos en formato RAR), comprobaremos que, en realidad, se trata de archivos ejecutables y no documentos como nos indicaban en los emails.
Esta sencilla técnica es una de las muchas empleadas por los delincuentes para tratar de hacer pasar inadvertidas sus amenazas a los ojos de los usuarios. Sin embargo, esta técnica raramente consigue eludir la detección de las soluciones de seguridad modernas y ya sea en el momento en el que se recibe el mensaje, se descarga la muestra o incluso aunque el usuario consiguiese ejecutarla y esta trate de ubicarse en la memoria del sistema.
En esta ocasión comprobamos como estamos ante dos viejos conocidos como son Agent Tesla y Formbook, amenazas catalogadas dentro de la categoría de infostealers o ladrones de información. Estos códigos maliciosos llevan años siendo una de las amenazas más detectadas en nuestro país y, viendo como continúan sus campañas de propagación, la cosa no tiene pinta de cambiar a corto y medio plazo.
Además, según los datos proporcionados por la plataforma Malware Bazaar, podemos comprobar como tanto Agent Tesla como Formbook han ido realizando campañas periódicas durante las últimas semanas, descansando durante los fines de semana, excepto justo el que acabamos de dejar atrás. Esto resulta curioso ya que, normalmente, los fines de semana este tipo de amenazas cesan su actividad.
En cualquier caso, las campañas detectadas durante las últimas horas no presentan ningún cambio sustancial con respecto a las analizadas durante los últimos meses y son detectables mediante el uso de soluciones de seguridad modernas. Hemos de recordar que son muchos los delincuentes que utilizan este tipo de malware como servicio, con mayor o menor éxito y nunca debemos bajar la guardia, por mucho que nos pensemos que somos capaces de detectar estas amenazas sin problema.
Conclusión
Tanto Agent Tesla como Formbook siguen protagonizando muchas de las campañas dirigidas a empresas y usuarios españoles con la finalidad de robar credenciales de acceso a varios de los servicios online con los que trabajamos día a día. Por ese motivo, y por la peligrosidad de los ataques derivados de esos robos de contraseñas debemos protegernos adecuadamente y estar informados acerca de cuales son las técnicas usadas por los ciberdelincuentes.