Durante los últimos meses hemos analizado numerosos casos de amenazas especializadas en el robo de información o infostealers. Estas amenazas siguen teniendo a las empresas españolas como una de sus víctimas preferidas a nivel mundial y eso se demuestra en la gran cantidad de correos maliciosos enviados y detectados todas las semanas. Pero, ¿Qué persiguen los delincuentes que usan estas amenazas? Una vez obtienen las credenciales de los usuarios, ¿Cómo las utilizan en su beneficio? En este artículo vamos a explicarlo para que tengamos conciencia del peligro real que suponen los ladrones de información.
Poniéndonos en situación
Cuando hablamos de infostealers, lo normal es pensar en mensajes enviados por email que adjuntan o incluyen un enlace a la descarga de un fichero. Suplantando la identidad de empresas, organismos oficiales o incluso la cuenta de correo corporativo de un usuario previamente infectado, los delincuentes tratan de ganarse la confianza de sus víctimas con un asunto lo suficientemente interesante como para que estos sigan sus instrucciones.
La finalidad de estos mensajes es conseguir que el usuario descargue el fichero adjunto o pulse sobre un enlace de descarga incluido en el email para, a continuación ejecutar el archivo descargado. A partir de este punto es cuando se inicia la cadena de infección del malware, que se encarga de recopilar todas las credenciales almacenadas en aplicaciones de uso cotidiano como navegadores de Internet, clientes de email, clientes FTP y VPNs, entre otras aplicaciones.
Una vez robadas las credenciales, el malware trata de sacarlas del sistema comprometido y enviarlas a algún servidor externo controlado por los atacantes. Los métodos de exfiltración y, por ejemplo, Agent Tesla (uno de los infostealers más activos desde hace años en España) tiene varias formas de sacar las credenciales robadas de los ordenadores que infecta.
Objetivos de los delincuentes
Tras ver los numerosos casos detectados en España desde hace ya varios meses, uno podría llegar a preguntarse por que tienen los delincuentes tanto interés en robar estas credenciales. Los motivos son variados, pero igualmente peligrosos, para las empresas que sufren este tipo de ataques, motivos que vamos a resumir en tres principales:
- Beneficio económico directo: ya sea a través del robo de credenciales que permiten el acceso a las operaciones de banca online o al robo de tarjetas de crédito, esta sería la forma más rápida para los delincuentes de monetizar este tipo de ataques.
- Phishing avanzado y más dirigido: una vez que los delincuentes se han hecho con las credenciales de una o varias cuentas de correo corporativas pueden preparar correos dirigidos a clientes o proveedores de esa empresa, correos que resultarán mucho más creíbles ya que provienen de remitentes de confianza.
- Campañas de ransomware: sin duda alguna, el mayor peligro que entraña el robo de credenciales es que puedan ser usadas posteriormente para acceder y comprometer redes corporativas, robando información confidencial y cifrándola para solicitar un rescate a continuación.
Cualquiera de estos motivos debería hacer que las empresas se replanteasen como gestionan su ciberseguridad para evitar este tipo de ataques pero, por si alguien quiere obtener más información acerca de cómo estas familias de malware se han convertido en una de las principales amenazas en España, recomendamos ver la siguiente ponencia que realizamos en las pasadas jornadas STIC del CCN-CERT.