Nueva oleada de correos con supuestas facturas dirigida a robar información de empresas españolas.

Las amenazas dirigidas a empresas, más concretamente el spyware, continúan en auge. Durante los últimos días hemos estado analizando una nueva campaña que sigue teniendo a empresas españolas entre sus objetivos favoritos, algo que viene repitiéndose de forma periódica desde hace ya algún tiempo.

Pedidos y facturas usados como cebo

Tal y como hemos visto en anteriores ocasiones, los delincuentes dirigen estos correos maliciosos a departamentos como los de administración o ventas de las empresas, sabiendo que son los que reciben este tipo de emails por parte de sus clientes y proveedores y, por ello, son más propensos a abrir cualquier tipo de archivo o enlace que se les adjunte.

Además, la gran mayoría de estos correos son enviados desde cuentas de empresas que han sido previamente comprometidas, por lo que, al tratarse de un remitente legítimo, los filtros antispam no suelen bloquearlos. Si echamos un vistazo a los correos que hemos analizado recientemente veremos como la mayoría de ellos siguen un patrón parecido en su redacción y, además, no se observan fallos destacables en su redacción, lo que los hace más creíbles.

El elevado número de correos de este tipo recibido durante esta semana coincide con otra campaña del spyware Formbook, el cual lleva varias semanas enviando emails de estas características a los buzones de entrada de miles de empresas de todo el mundo. Tal y como se observa en la siguiente gráfica, estas campañas suelen empezar a inicios de semana y descansar los fines de semana, coincidiendo con las días laborales en la mayoría de países.

La finalidad de este tipo de malware es, principalmente, el robo de credenciales almacenadas en aplicaciones como navegadores de Internet, clientes de correo, clientes FTP y VPNs. Una vez obtenidas estas credenciales, los delincuentes pueden realizar otras acciones como enviar emails desde los buzones de las víctimas, acceder a servicios online de las empresas o acceder a las redes internas para robar información confidencial e incluso infectar los dispositivos con un ransomware.

Tendencia recientes de los infostealers en España

Esta campaña de propagación de infostealers o ladrones de información (categoría de la cual el spyware forma parte) es solo la última de una serie que lleva produciéndose desde hace bastantes meses. Además, según los datos recopilados por la telemetría de ESET y presentados en el último informe cuatrimestral, España fue el país más afectado por estas amenazas durante ese periodo, con un 9.2 % del total de amenazas detectadas correspondientes a esta categoría, seguida por Turquía (6,2 %) y Japón (6 %).

Si echamos un vistazo en detalle al malware de la categoría infostealer detectado en España entre los meses de mayo y septiembre de 2021, vemos como las familias MSIL/Spy.Agent y, más concretamente, su variante AES (también conocida como Agent Tesla) y Win/Formbook han dominado las detecciones, con alrededor de un 75 % de las detecciones totales correspondientes a esta categoría.

Esto demuestra que los delincuentes están consiguiendo su objetivo infectando sistemas y robando credenciales de empresas españolas, especialmente de las pymes, pero también de alguna gran empresa. Esta es una tendencia preocupante y que demuestra, una vez más, la falta de inversión y concienciación en ciberseguridad en el tejido empresarial de nuestro país.

Además, a pesar de que los filtros antispam pueden fallar a la hora de dejar pasar correos enviados desde remitentes legítimos, no sucede lo mismo con los ficheros maliciosos que suelen adjuntar estos correos. En varias de las muestras recibidas y remitidas para su análisis, el fichero adjunto (que suele contener un ejecutable comprimido en un archivo RAR) ha sido eliminado por la solución de seguridad ESET Mail Security al ser analizado en el servidor de correo, lo que demuestra la necesidad de contar con varias capas de seguridad.

Conclusión

Este tipo de campañas recurrentes suponen un peligro para muchas empresas por las nefastas consecuencias que pueden tener el robo de credenciales que permitan a los delincuentes acceder a correos, servicios e incluso la red interna. Por ese motivo debemos tomar las precauciones necesarias a la hora de identificar posibles correos maliciosos y utilizar soluciones de seguridad capaces de detectar y eliminar estas amenazas.

Josep Albors

Phishing de Deutsche Bank alude a un supuesto servicio de seguridad para intentar robar credenciales