Aunque en verano tradicionalmente disminuye el volumen de correos maliciosos dirigidos a las empresas españolas, una nueva campaña de ciberataques dirigidos contra empresas españolas ha puesto en alerta a los expertos en ciberseguridad.
La protagonista de esta amenaza es 'Remcos', una RAT (que no es un roedor, sino las siglas en inglés de una categoría de malware conocida como 'Herramientas de Acceso Remoto') que utiliza ingeniosas tácticas para infiltrarse en sistemas corporativos y robar información confidencial.
Los ciberdelincuentes detrás de esta campaña han demostrado su ingenio al utilizar como principal herramienta de infección correos electrónicos que suplantan a entidades bancarias como el BBVA y que adjuntan supuestas facturas, aparentemente inocentes documentos de Word que… sin embargo, ocultan un malware devastador para el sistema Windows que lo ejecuta.
Vía ESET
Los mensajes, cuidadosamente redactados para aumentar su credibilidad —ya pasó la época en que todos los correos maliciosos se distinguían por estar llenos de erratas o por estar 'traducidos' de manera ininteligible—, buscan lo que todos los ejemplos de phishing…
…generar suficiente interés en los destinatarios (los departamentos de administración de las empresas, en este caso) como para que abran los enlaces/ficheros que adjuntan.
A pesar de los años de advertencias sobre los peligros de abrir archivos desconocidos, muchos usuarios aún caen en esta trampa, confiando en la apariencia inofensiva de un documento de Word. Y es que no por no ser un ejecutable, un fichero carece necesariamente de capacidad para infectar nuestro sistema.
El proceso de infección
Como explican en el blog de ESET, "en el caso de que un usuario muerda el anzuelo y abra uno de estos ficheros, lo más probable es que no vea nada en su interior o que observe una larga secuencia de caracteres supuestamente inconexos". Así:
Aspecto de la 'factura'.
"Sin embargo, si la víctima está usando una versión antigua de Office sin los debidos parches de seguridad aplicados, se iniciará la cadena de infección preparada por los delincuentes. Esta cuenta de varias fases, donde primero se aprovecha la vulnerabilidad CVE-2017-11882 de noviembre de 2017 para ejecutar código y cargar el malware Batloader, encargado de realizar el compromiso inicial del sistema".
Es precisamente una vez que se ha comprometido el sistema, cuando los atacantes continúan con su ofensiva utilizando Batloader para cargar la BAT (recordemos, 'herramienta de control remoto') Remcos.
Una vez que ésta se instala, se abre una puerta trasera que los atacantes pueden aprovechar para acceder a la máquina de la víctima sin restricciones. Esto les permite extraer información confidencial y robar credenciales, poniendo en riesgo la seguridad y la continuidad del negocio.
Su impacto
La elección del idioma español en los correos y la telemetría de detección proporcionada por ESET indican claramente que esta campaña se dirige específicamente a España. Además, las campañas que utilizan la herramienta Remcos han ido en aumento desde mediados de julio, según datos proporcionados por MalwareBazar.
"La continuidad o no de estas campañas depende de varios factores como el éxito que obtengan los delincuentes en la consecución de sus objetivos. Si bien el uso de ficheros adjuntos en correos sigue siendo una estrategia muy utilizada, su detección es relativamente fácil si se dispone de soluciones de seguridad modernas".
Imagen | Pixabay
En Genbeta | "Llevamos 45 días esperando que pagues la factura": los correos de estafas se ponen bordes. Y eso ayuda a detectarlos
Ver 1 comentarios