La suplantación de empresas importantes es práctica común de los ciberdelincuentes desde hace mucho tiempo. El objetivo es que sus campañas resulten más convincentes y lograr así nuevas víctimas. El sector les da igual: una empresa de transporte, un comercio que vende sus productos online, una energética o entidad financiera... El uso de una marca reconocida con fines maliciosos puede provocar que su tasa de éxito crezca de manera considerable.
Esta misma semana, la compañía de ciberseguridad ESET ha detectado dos recientes amenazas en la que estaba involucrado el Snake Keylogger, un tipo de malware concebido para robar credenciales de acceso a sistemas y servicios en línea. En los últimos casos, se han utilizado conocidas marcas españolas como Repsol y el Banco Santander para hacer creer a las víctimas que tienen una factura pendiente de pago o una revisión de presupuesto.
Método de ataque e infección de los sistemas
El objetivo de infostealers consiste en robar credenciales almacenadas en los sistemas que infectan: pueden pertenecer a cuentas de correo, VPNs o incluso a servicios de juegos online o servicios vinculados con criptomonedas. La información robada sirve a los delincuentes para obtener un beneficio económico de forma directa o indirecta.
La manera de actuar de estas amenazas también suele ser similar porque una vez que el usuario ha caído en la trampa y ejecutado el fichero adjunto malicioso comienza la cadena de infección, que termina descargando el infostealer elegido para una campaña en concreto, recopilando todas las credenciales que pueda del sistema (obteniéndolas, por ejemplo, de los navegadores usados por la víctima) y enviándoselas a los delincuentes.
Una de las técnicas más empleadas en estas campañas es el envío de correos electrónicos fraudulentos que simulan proceder de empresas reconocidas. Los correos suelen estar bien diseñados, con logotipos y formatos creíbles, pero tienen señales de alerta, como errores en el remitente o enlaces inactivos que solo son imágenes. En muchos casos, los atacantes utilizan direcciones legítimas que han sido previamente comprometidas, permitiendo que sus mensajes no sean bloqueados por filtros de spam durante las primeras horas del ataque.
El archivo adjunto en estos correos no es una factura real, sino un script malicioso que cuando se ejecuta da pie a una cadena de infección mediante comandos de PowerShell. Este proceso permite la instalación del Snake Keylogger, que se encarga de recopilar credenciales almacenadas en navegadores y otros sistemas del usuario. Algunas recientes campañas han usado la variante VIPKeylogger, que ha sido usada por ciberdelincuentes desde 2020.
Protección para las víctimas
Las empresas, sobre todo las pymes, son las más afectadas por estas estafas. Con las credenciales robadas, los delincuentes pueden infiltrarse en redes corporativas, robar información confidencial e incluso usar los correos electrónicos de las víctimas para propagar nuevas campañas maliciosas.
Los expertos de ESET España aconsejan tomar una serie de medidas de prevención:
- Desconfiar de correos electrónicos con facturas inesperadas o urgentes.
- Revisar cuidadosamente el remitente y los enlaces antes de hacer clic.
- No descargar ni ejecutar archivos adjuntos sospechosos.
- Implementar medidas de seguridad como la autenticación en dos pasos.
- Contar con soluciones de ciberseguridad capaces de detectar estas amenazas antes de que causen daño.