Teniendo en cuenta que el correo electrónico sigue siendo uno de los principales vectores de ataque en la actualidad, no debe extrañarnos que el uso dee archivos adjuntos maliciosos siga estando a la orden del día por parte de los ciberdelincuentes. De hecho, los correos con supuestos presupuestos, consultas, pedidos y otros asuntos relacionados con el día a día de un departamento de ventas y administración cualquiera son uno de los ganchos que más veces se utiliza en los últimos meses en ataques dirigidos a empresas españolas .
A simple vista, estos correos, podrían pasar por uno de tantos correos con los que bregan los empleados en la mayoría de empresas, con un asunto directo, un breve cuerpo del mensaje ampliando la información e indicando la necesidad de abrir un archivo adjunto que, a simple vista, parece ser una inofensiva hoja de cálculo.
Pero las apariencias engañan, y en caso de que este mensaje llegue a las bandejas de entrada de los usuarios, es bastante posible que alguno de ellos trate de abrir el archivo adjunto. En este caso tan sólo verá un mensaje en el que se le indica que debe deshabilitar el modo de vista protegida con el que Microsoft Office abre todos los documentos descargados de Internet, precisamente para evitar que éstos realicen alguna acción maliciosa.
Si el usuario sigue las instrucciones indicadas por los atacantes, se iniciará la cadena de infección establecida, que en estos casos pasa por la explotación de alguna vulnerabilidad conocida y la ejecución de comandos para conectarse a un servidor controlado por los delincuentes, y desde donde se procede a descargar el malware de segunda fase.
Estas cadenas de infección pueden ser todo lo sencillas o rebuscadas que quieran los delincuentes y muchas veces se puede identificar al grupo o amenaza detrás de la infección solo analizando los pasos que sigue para comprometer el sistema. En esta ocasión vemos cómo el malware de primera fase se conecta a una URL para descargar un archivo ejecutable responsable de llevar a cabo la acción maliciosa establecida.
En este ejemplo, estamos ante una variante del grabador de keylogger Snake, un malware especializado en el robo de credenciales almacenadas en aplicaciones de uso cotidiano como clientes FTP, clientes de correo o navegadores de Internet. También es capaz de robar otra información como nuestro historial de navegación y otra información que pueda serle útil a los delincuentes, que normalmente la usan para lanzar nuevas campañas de propagación de malware usando las credenciales de correo robadas o para acceder a la red corporativa o alguno de sus recursos compartidos y, una vez allí, tratar de robar información confidencial y cifrarla para realizar una extorsión en la empresa afectada.
Un ejemplo de la reutilización de credenciales robadas en ataques anteriores lo tenemos en el servidor de correo que utilizan los delincuentes para filtrar la información robada de las máquinas que infectan a esta campaña.
Además, para conseguir infectar el sistema con'Excel adjunto al email, los delincuentes siguen utilizando vulnerabilidades antiguas que, hoy en día, siguen dando buenos resultados, ya que muchos usuarios y empresas siguen sin actualizar sus sistemas y aplicaciones de uso cotidiano, lo que facilita mucho la labor a los atacantes.
En este caso vemos cómo se emplean vulnerabilidades ampliamente conocidas y solucionadas desde hace años, pero que permanecen en el arsenal de los ciberdelincuentes, debido a que siguen siendo efectivas incluso hoy en día.
Y es que, por mucho que el foco esté puesto en amenazas avanzadas emergentes, la realidad es que la mayoría de empresas se enfrentará a ataques conocidos desde hace tiempo, usando vectores clásicos como el correo electrónico y tácticas ampliamente usadas por los delincuentes que pueden ser detectadas de forma sencilla siguiendo los mismos consejos que se recomiendan desde hace tiempo y que incluyen, como no podía ser de otra forma, la actualización de nuestros sistemas y aplicaciones.
De la misma manera que no pocos grupos de delincuentes reutilizan sus tácticas, técnicas y procedimientos una y otra vez con buenos resultados, nosotros debemos ser capaces de reconocerlas para evitar que estas amenazas nos afecten y centrarnos en aquellas que sí resultan más complejas y pueden causar graves daños si no contamos con políticas y soluciones de seguridad que nos ayudan a detectarlas y mitigar sus nocivos efectos.