Las empresas españolas son uno de los principales objetivos de una campaña de propagación de "ladrones de información" o infostealers (categoría de la que forma parte el spyware), según ha alertado ESET después de que sus expertos la hayan estado analizando durante los últimos días.
En un comunicado, la compañía de ciberseguridad advierte que no se trata de algo aislado, sino que solo es la última amenaza de una larga serie que se llevan produciendo desde hace meses. De hecho, los datos recopilados por su telemetría y presentados en su último informe cuatrimestral muestran que España fue el país más afectado del mundo por estas amenazas durante el período, con un 9,2% del total de amenazas detectadas correspondientes a esta categoría, seguida por Turquía (6,2%) y Japón (6%).
Se propaga por e-mails que usan como gancho pedidos y facturas
Tal y como explica ESET, esta campaña de infostealers se está difundiendo a través de correos electrónicos maliciosos que utilizan como cebo supuestos pedidos o facturas. Los ciberdelincuentes se los están enviando principalmente a los departamentos de Administración o Ventas, lo cual no es de extrañar teniendo en cuenta que son los que más reciben este tipo de e-mails por parte de clientes y proveedores, por lo que también son los más a abrir cualquier archivo o enlace que se les adjunte.
En los emails analizados recientemente por la compañía, se observa cómo la mayoría de ellos siguen un patrón parecido en su redacción y no presentan fallos de lenguaje destacables, lo que los hace aún más creíbles.
"Además, la gran mayoría de estos correos son enviados desde cuentas de empresas que han sido previamente comprometidas, por lo que, al tratarse de un remitente legítimo, los filtros antispam no suelen bloquearlos al revisar sus cabeceras, aunque sí pueden detectar y eliminar los archivos adjuntos maliciosos", señala ESET.
Coincide con otra campaña de "spyware" y sus consecuencias pueden ser nefastas
Siguiendo su información, un elevado número de los e-mails de este tipo que se han recibido esta última semana coinciden con otra campaña del spyware "Formbook", que lleva enviando emails de estas características a los buzones de entrada de miles de empresas de todo el mundo desde hace varias semanas. Normalmente, estas campañas empiezan a inicios de semana y "descansan" los fines de semana, coincidiendo con los días laborales en la mayoría de países.
Según los expertos de ESET, el objetivo de este tipo de malware suele ser, principalmente, el robo de las credenciales almacenadas en aplicaciones como navegadores de Internet, clientes de correo, clientes FTP y VPNs. Una vez obtenidas estas credenciales, los delincuentes pueden realizar otras acciones, como enviar e-mails desde los buzones de las víctimas, acceder a servicios online de las organizaciones o acceder a sus redes internas para robar información confidencial e infectar los dispositivos con un ransomware.
El spyware, una tendencia en auge y preocupante
En su comunicado, ESET también advierte que ha observado que las detecciones de infostealers que afectaban a España entre mayo y septiembre de 2021 ha estado dominado por las familias MSIL/Spy.Agent (más concretamente su variante AES, también conocida como Agent Tesla) y Win/Formbook, con alrededor de un 75 % de las detecciones totales correspondientes a esta categoría.
Para la compañía, esto evidencia que los ciberdelincuentes están consiguiendo su objetivo, infectando sistemas y robando credenciales de empresas españolas, especialmente de las pymes, pero también de alguna gran empresa. Según afirma, se trata de una tendencia preocupante y que demuestra, una vez más, la falta de inversión y concienciación en ciberseguridad en el tejido empresarial de nuestro país.
Además, apunta que aunque los filtros antispam pueden fallar a la hora de dejar pasar correos enviados desde remitentes legítimos, no sucede lo mismo con los ficheros maliciosos adjuntos en estos correos. En este sentido, señala que en varias de las muestras recibidas y analizadas por sus expertos, el fichero adjunto (que suele contener un ejecutable comprimido en un archivo RAR) ha sido eliminado por la solución de seguridad instalada en el servidor de correo, lo que muestra la necesidad de contar con varias capas de seguridad.
En palabras de Josep Albors, director de investigación y concienciación de ESET España: "Este tipo de campañas recurrentes suponen un peligro para muchas empresas, por las nefastas consecuencias que puede tener el robo de credenciales que permitan a los delincuentes acceder a correos, servicios e incluso a la red interna de la organización. Por ese motivo, debemos tomar las precauciones necesarias a la hora de identificar posibles correos maliciosos y utilizar soluciones de seguridad capaces de detectar y eliminar dichas amenazas".