A pesar de que durante las últimas semanas hemos asistido a importantes golpes policiales contra la infraestructura y los responsables de algunas de las familias de infostealers más populares, como las operaciones contra Lumma Stealer o Danabot, lo cierto es que las campañas protagonizadas por estas amenazas se siguen sucediendo en nuestro país.
Durante las últimas horas hemos detectado en nuestro laboratorio una cantidad destacable de correos electrónicos haciéndose pasar por todo tipo de empresas y usando asuntos conocidos como supuestos pagos pendientes o facturas. Como viene siendo habitual, este tipo de emails suelen ir dirigidos a los departamentos de administración y finanzas de las empresas, los cuales suelen lidiar con una cantidad importante de mensajes similares y es más probable que uno de estos mensajes fraudulentos pase desapercibido.
Además, debemos tener en cuenta que algunos de estos correos se envían desde cuentas corporativas que han sido previamente comprometidas por los delincuentes en campañas anteriores, por lo que es posible que lleguen a las bandejas de entrada de numerosas empresas si estas no tienen debidamente configuradas los filtros antispam y las soluciones de seguridad.
En cualquier caso, las técnicas usadas por los delincuentes no suelen variar en estas campañas, limitándose a convencer a los usuarios que reciben estos correos para que descarguen y ejecuten el contenido de los ficheros comprimidos adjuntos.
Tal y como puede observarse en la captura anterior, los ficheros comprimidos suelen contener algún tipo de archivo ejecutable responsable de iniciar la cadena de infección. Los delincuentes suelen comprimir estos archivos para evitar que el sistema operativo los revise más a fondo al haber sido descargado de Internet y, aunque es una técnica muy básica que no evade a las soluciones de seguridad actuales, sigue siendo probable que algunos de los usuarios que reciban estos emails sigan sin disponer de o tener debidamente configuradas estas soluciones.
Lo habitual en este tipo de campañas es que el fichero ejecutable sea un cargador que se encargue de desplegar la carga maliciosa en el sistema. En este caso estamos ante un ladrón de información o infostealer, aunque los delincuentes pueden usar otras amenazas si así lo desean. La mayoría de muestras analizadas en nuestros laboratorios durante las últimas horas pertenecen a la familia VIPKeylogger, que a su vez es una variante de Snake Keylogger, aunque también hemos detectado otras familias como Darkcloud.
Estas familias de infostealers suelen caracterizarse por el robo de datos y, más concretamente, de todo tipo de credenciales almacenadas, por ejemplo, en navegadores de Internet o clientes de correo, además de ser capaces de capturar las pulsaciones de teclado. Una vez han recopilado la información suelen utilizar varias formas para enviarla a los delincuentes usando, por ejemplo, la API de Telegram o enviándola a un email controlado por los atacantes utilizando un servidor SMTP previamente comprometido, tal y como se puede observar en la imagen a continuación.
La gran mayoría de las muestras analizadas se han concentrado en objetivos ubicados en España, siendo pequeñas y medianas empresas la mayoría de ellos. Esto se puede comprobar revisando la telemetría de ESET donde la detección de las muestras analizadas es considerablemente mayor en nuestro país en comparación con otros.
Sabemos que los infostealers suponen una pieza fundamental de la industria del cibercrimen actual, puesto que proporcionan a los atacantes las credenciales necesarias para acceder a redes y servicios de las empresas. Una vez dentro, se pueden realizar tareas de reconocimiento en búsqueda de información confidencial valiosa para robarla y/o cifrarla para, a continuación, extorsionar a la víctima.
Es por este motivo que resulta vital reconocer este tipo de campañas y aplicar las medidas necesarias para poder detectar estas amenazas, evitando así que nuestra información personal o corporativa caiga en malas manos.