Las campañas de correos maliciosos protagonizadas por amenazas especializadas en el robo de credenciales continúan representando un elevado porcentaje de las detecciones de código malicioso en España. Buena prueba de ello lo tenemos en los múltiples casos de emails que se están enviando desde la madrugada del lunes 21 de octubre y que van dirigidos especialmente a pequeñas y medianas empresas españolas.
Facturas con trampa
En esta nueva campaña comprobamos como los delincuentes siguen utilizando un método clásico pero que sigue siendo efectivo. Este método consiste en hacerse pasar por una empresa que existe realmente y enviar correos a cientos, e incluso miles, de cuentas pertenecientes a todo tipo de empresas. Los delincuentes confían en que un porcentaje de estos correos no serán detectados en los servidores de correo (probablemente porque no tengan instalada una solución de seguridad) y que alguno de los usuarios ejecutará los ficheros adjuntos.
Debemos recordar que este tipo de campañas de envío masivo de correos les sale barato a los delincuentes, y que solo con que un pequeño porcentaje de envíos tenga éxito infectando a sus víctimas ya compensa la inversión realizada. Además, los delincuentes hace tiempo que suplantan la identidad de empresas españolas para hacer más creíbles sus correos, usando direcciones reales para tratar de evitar los filtros antispam.
En lo que respecta a la cadena de infección, esta no ha variado apenas si la comparamos con casos analizados hace algunos años. Estos correos maliciosos adjuntan un fichero comprimido para evitar que Windows otorgue la “marca de la web” al ejecutable que contienen, lo que los identificaría como potencialmente peligrosos. Si revisamos el fichero ejecutable malicioso, comprobaremos que su última modificación es de apenas unas horas antes de que empezase a propagarse de forma masiva entre empresas españolas durante la madrugada del lunes.
Solamente con observar la extensión .EXE (archivo ejecutable) del archivo debería bastar para hacer sonar todas las alarmas, pero, sin embargo, el alto volumen de correos legítimos similares que llegan a los departamentos de administración y finanzas (que suelen recibir estos correos) hace que no pocos usuarios pasen este hecho por alto o que, directamente, no tengan configurado el sistema para mostrar las extensiones de los archivos.
Ejecución y fallos cometidos
A pesar de que estas cadenas de infección se vienen produciendo constantemente desde hace años, es posible que los delincuentes que ejecuten campañas como la que estamos analizando no se hayan molestado en depurar los posibles errores cometidos. En las muestras analizadas durante las últimas horas comprobamos que la ejecución del código maliciosos deja rastros perfectamente visibles en el sistema, mostrando primero una ventana de PowerShell y, a continuación, la ventana de un instalador que queda a la espera de que el usuario siga con la instalación.
Si bien estos descuidos no impiden la ejecución del malware en la mayoría de los casos, no es menos cierto que dejan un rastro evidente que puede hacer sospechar que algo va mal. Lo normal en los correos que adjuntan facturas o presupuestos es que se abra un documento en formato PDF o similar, algo que no sucede en este caso.
Si revisamos la cadena de infección, vemos que se utiliza el conocido GuLoader como cargador del malware, usando para ello un script en PowerShell que está configurado para que sea invisible para el usuario, y aunque la ejecución del script no se muestra, la ventana de PowerShell sí aparece en pantalla.
En última instancia se termina infectando el sistema con un malware especializado en el robo de credenciales, en este caso Snake Keylogger. Esta es una de las muchas amenazas similares que, actualmente, son usadas por ciberdelincuentes para robar contraseñas que estén almacenadas en aplicaciones de uso cotidiano como navegadores de Internet, clientes de correo, clientes FTP o VPNs, aunque también hay variantes que roban credenciales relacionadas con carteras de criptomonedas o cuentas de servicios de juegos.
Además, este tipo de amenazas suelen usar varios métodos para enviar las credenciales que roban a los delincuentes, siendo uno de los más comunes el utilizar una cuenta de correo previamente comprometida para este fin, tal y como sucede en este caso.
Teniendo en cuenta la elevada cantidad de correos de este tipo protagonizados por infostealers y el peligro que supone el robo de credenciales actualmente, es muy recomendable adoptar las medidas de seguridad necesarias. Ayudar a identificar estos correos es importante, pero es mucho más seguro bloquearlos antes de que lleguen a los buzones de entrada de los usuarios o, en última instancia, eliminar ficheros adjuntos maliciosos.