Suplantación a DHL para propagar malware en la vuelta al trabajo

Josep Albors explica este nuevo método de distribución de software malicioso

Inundando las bandejas de entrada

Desde el inicio de esta semana hemos detectado un notable incremento en aquellas amenazas dirigidas a empresas que se propagan usando el correo electrónico y, más concretamente, las que están dirigidas a robar información como credenciales de acceso a diferentes servicios. Entre estas campañas hay alguna que ha destacado por el elevado volumen de correos enviados, como la que vuelve a suplantar a la conocida empresa DHL y nos notifica un supuesto envío (a pesar de que el dominio del remitente no tenga nada que ver con esta empresa de mensajería).

La estrategia de los delincuentes sigue siendo la misma que la observada durante los últimos meses y pasa por generar el suficiente interés en este tipo de mensajes para que el receptor descargue el fichero adjunto o pulse sobre el enlace incluido dentro del cuerpo del mensaje. En este caso vemos como se adjunta un archivo que más de un usuario habrá descargado en busca de información acerca de este supuesto envío.

Los usuarios más avispados se darán cuenta de que el archivo adjunto contiene una doble extensión PDF.img para tratar de confundir a sus víctimas y hacerles creer que están abriendo un inofensivo fichero ofimático. Sin embargo, este archivo es en realidad un fichero comprimido en ZIP que alberga en su interior un ejecutable malicioso, tal y como podemos observar si renombramos la extensión del archivo tras descargarlo y tratamos de descomprimirlo.

Muchos usuarios intentarán abrir el fichero nada más descargarlo, sin fijarse en estos detalles mencionados, y precisamente los delincuentes juegan con esta baza a su favor para tratar de infectar el mayor número de sistemas posible.

Identificación y alcance de la amenaza

Tal y como viene siendo habitual en este tipo de campañas de propagación de correos maliciosos, los delincuentes tratan de ejecutar un malware de primera fase como es GuLoader que, seguidamente, ejecutará la amenaza que los delincuentes hayan preparado para esta campaña. Viendo los antecedentes en España y que las campañas de infostealers siguen a la orden del día, hay muchas probabilidades de que traten de infectar el sistema con alguna variante de herramientas de control remoto maliciosas tales como Agent Tesla, Remcos o Formbook.

La finalidad principal de estos códigos maliciosos es la de robar credenciales almacenadas en aplicaciones de uso cotidiano en empresas, tales como clientes de email, navegadores de Internet, clientes FTP o VPNs, por poner algunos ejemplos. Además, también permiten a los delincuentes cargar malware adicional remotamente o registrar las pulsaciones de teclado para capturar contraseñas y otro tipo de información confidencial.

Sin embargo, esta semana hemos visto más actividad que la de costumbre relacionada con estas campañas de malware, probablemente relacionada con la vuelta al trabajo de muchos usuarios tras sus vacaciones veraniegas. La campaña de DHL ha sido una de las más destacadas por la cantidad de correos enviados, pero no ha sido la única, ya que, aprovechando sistemas comprometidos anteriormente, los delincuentes utilizan las cuentas de correo robadas para enviar estos emails maliciosos a nuevas víctimas.

La intensidad de estas campañas también podemos medirla gracias a sistemas de detección y compartición de información como la que incorporan las soluciones de ESET. De esta forma, podemos ver en números relativos que se ha detectado un número importante de este tipo de amenazas en las últimas horas y también en otros países.

Que España siga entre los países más atacados por los infostealers es preocupante, ya que la información robada por este tipo de amenazas es usada posteriormente en otros ataques más dañinos, como los protagonizados por el ransomware. Y aunque España aún esté lejos del podio en cuanto a número de empresas y organizaciones afectadas por esta amenaza, no ha dejado de subir posiciones desde hace meses y ya se encuentra en el top 10 de países que los delincuentes detrás del ransomware tienen como objetivo.

Por ese motivo es importante identificar este tipo de campañas, especialmente si utilizan un vector de ataque tan tradicional como es el correo electrónico, y desconfiar de aquellos archivos y enlaces no solicitados aunque provengan de fuentes de confianza.

Conclusión

Los grupos de ciberdelincuentes continúan usando las mismas tácticas, técnicas y procedimientos para tratar de conseguir víctimas que ya veníamos observando antes de las vacaciones. Debido a esto, debemos implementar medidas y soluciones de seguridad que sean capaces de bloquear este tipo de emails antes de que lleguen a la bandeja de entrada de los usuarios y puedan comprometer la seguridad de la empresa.

Cybersecuritynews