Se disparan las detecciones de campañas protagonizadas por infostealers en España

  • Endpoint

ciberseguridad email amenazas

Todas tienen un patrón idéntico, consistente en suplantar a una empresa u organismo e incitar al receptor del mensaje a que descargue y ejecute el fichero adjunto. Los delincuentes están usando el código malicioso GuLoader que, a su vez actúa como descargador de otras familias de malware.

  Recomendados....
 

» 1er Encuentro IT Digital Magazine. Cloud, palanca de crecimiento y gestión empresarial Registro
» El nuevo paradigma de seguridad para entornos SD-WAN Acceso
» Replanteando la gestión de residuos y eliminación de activos informáticos Guia

Durante los últimos días ESET ha estado observando un importante aumento en las detecciones de cierto tipo de correos que se encargan de propagar un tipo de malware específico. Se trata de correos que suplantan a todo tipo de empresas e incluso organismos públicos como universidades o la propia Agencia Tributaria, en su intento de conseguir que los usuarios que los reciban ejecuten los ficheros que llevan adjuntos.

Todas estas campañas de correos tienen un patrón idéntico, consistente en suplantar a una empresa u organismo reconocido e incitar al receptor del mensaje para que descargue y ejecute el fichero adjunto. Por ejemplo, en uno de los múltiples correos analizados en su laboratorio se suplanta la identidad del banco BBVA, indicando que se adjunta un justificante de pago como gancho para tratar de convencer al usuario.

Esta estrategia, aunque muy básica sigue funcionando muy bien a los delincuentes que se encargan de preparar este tipo de campañas. Y es que, aunque solo un bajo porcentaje de usuarios caiga en la trampa, el coste de preparar estos correos y de enviarlos les resulta tan fácil y barato que merece la pena preparar estas campañas.

El fichero adjunto viene comprimido en un intento de evitar que el correo sea descartado solo al ver la extensión del archivo. Se trata de un fichero ejecutable en formato EXE que intenta hacerse pasar por un archivo PDF. Si el usuario descarga y ejecuta los archivos adjuntos será infectado por un tipo de malware de la familia de los infostealers o ladrones de información. En las campañas de estos últimos días, los delincuentes están usando el código malicioso GuLoader que, a su vez actúa como descargador de otras familias de malware como puedan ser RATs maliciosas tales como Formbook, Agent Tesla, Snake o Warzone, entre otros.

Impacto en España

El notable incremento de este tipo de correos maliciosos es algo que se ha producido a nivel mundial pero que ha afectado principalmente a España. Por ejemplo, una amenaza, detectada por las soluciones de ESET de forma genérica como NSIS/Injector, está siendo la más detectada con diferencia durante esta semana, con alrededor de un 25% de las detecciones totales realizadas en España y lejos del segundo puesto, que ocupan los ataques de fuerza bruta al protocolo RDP.

Desde inicios de febrero, las campañas protagonizadas por este tipo de malware han experimentado un importante crecimiento a nivel mundial, aunque sin llegar a los niveles de detección que tenemos ahora mismo en España.

Que los delincuentes estén centrando sus campañas de amenazas especializadas en el robo de información en nuestro país no son, precisamente, buenas noticias. Significa que campañas anteriores les han funcionado bien y que siguen interesados en robar credenciales almacenadas en navegadores de Internet, clientes de correo, clientes FTP o VPNs, estando estos ataques especialmente dirigidos al sector de las pequeñas y medianas empresas.

Estas credenciales son utilizadas, posteriormente, en ataques más elaborados y más dañinos. Los delincuentes pueden usarlas, por ejemplo, para propagar nuevas amenazas usando cuentas de correo legítimas que han sido comprometidas o para acceder a la red interna de la empresa, robar información confidencial, cifrarla y luego extorsionar a sus víctimas para recuperar su información y no filtrarla públicamente.

Viendo el incremento de este tipo de emails maliciosos, ESET recuerda que la gran mayoría de ellos pueden ser detectados y eliminados por soluciones de seguridad instaladas tanto en servidores de correo como en estaciones de trabajo, sin olvidar la importancia que tiene la formación en ciberseguridad de los empleados para que aprendan a desconfiar de correos sospechosos, aunque estos provengan de remitentes de confianza.