Tenint en compte que el correu electrònic continua sent un dels principals vectors d’atac en l’actualitat, no ha d’estranyar-nos que l’ús de fitxers adjunts maliciosos continue estant a l’ordre del dia per part dels ciberdelinqüents. De fet, els correus amb suposats pressupostos, consultes, comandes i altres assumptes relacionats amb el dia a dia d’un departament de vendes i administració qualsevol són un dels ganxos que més vegades s’utilitza durant els últims mesos en atacs dirigits a empreses espanyoles.
A simple vista, aquests correus, podrien passar per un de tants correus amb els quals breguen els empleats en la majoria d’empreses, amb un assumpte directe, un breu cos del missatge ampliant la informació i indicant la necessitat d’obrir un fitxer adjunt que, a simple vista, sembla ser un inofensiu full de càlcul.
Però les aparences enganyen, i en el cas que aquest missatge arribe a les safates d’entrada dels usuaris, és bastant possible que algun d’ells tracte d’obrir el fitxer adjunt. En aquest cas tan sols veurà un missatge on se li indica que ha de deshabilitar el mode de vista protegida amb el qual Microsoft Office obre tots els documents descarregats d’Internet, precisament per a evitar que aquests realitzen alguna acció maliciosa.
Si l’usuari segueix les instruccions indicades pels atacants, s’iniciarà la cadena d’infecció establerta, que en aquests casos passa per l’explotació d’alguna vulnerabilitat coneguda i l’execució de comandaments per a connectar-se a un servidor controlat pels delinqüents, i des d’on es procedeix a descarregar el malware de segona fase.
Aquestes cadenes d’infecció poden ser tot el senzilles o rebuscades que vulguen els delinqüents i moltes vegades es pot identificar el grup o amenaça darrere de la infecció solament analitzant els passos que segueix per a comprometre el sistema. En aquesta ocasió veiem com el malware de primera fase es connecta a un URL per a descarregar un fitxer executable responsable de dur a terme l’acció maliciosa establerta.
En aquest exemple, ens trobem davant una variant de l’enregistrador de keylogger Snake, un malware especialitzat en el robatori de credencials emmagatzemades en aplicacions d’ús quotidià com a clients FTP, clients de correu o navegadors d’Internet. També és capaç de robar una altra informació com el nostre historial de navegació i una altra informació que puga ser-li útil als delinqüents, que normalment l’usen per a llançar noves campanyes de propagació de malware usant les credencials de correu robades o per a accedir a la xarxa corporativa o algun dels seus recursos compartits i, una vegada allí, tractar de robar informació confidencial i xifrar-la per a realitzar una extorsió a l’empresa afectada.
Un exemple de la reutilització de credencials robades en atacs anteriors el tenim en el servidor de correu que utilitzen els delinqüents per a filtrar la informació robada de les màquines que infecten amb aquesta campanya.
A més, per a aconseguir infectar el sistema amb l‘Excel adjunt a l’email, els delinqüents continuen fent servir vulnerabilitats antigues que, avui dia, continuen donant bons resultats, ja que molts usuaris i empreses segueixen sense actualitzar els seus sistemes i aplicacions d’ús quotidià, la qual cosa facilita molt la tasca als atacants.
En aquest cas veiem com s’empren vulnerabilitats àmpliament conegudes i solucionades des de fa anys, però que romanen en l’arsenal dels ciberdelinqüents, pel fet que continuen sent efectives fins i tot avui dia.
I és que, per molt que el focus estiga posat en amenaces avançades emergents, la realitat és que la majoria d’empreses s’enfrontarà a atacs coneguts des de fa temps, usant vectors clàssics com el correu electrònic i tàctiques àmpliament usades pels delinqüents que poden ser detectades de manera senzilla seguint els mateixos consells que es recomanen des de fa temps i que inclouen, com no podia ser d’una altra forma, l’actualització dels nostres sistemes i aplicacions.
De la mateixa manera que no pocs grups de delinqüents reutilitzen les seues tàctiques, tècniques i procediments una vegada i una altra amb bons resultats, nosaltres hem de ser capaços de reconéixer-les per a evitar que aquestes amenaces ens afecten i centrar-nos en aquelles que sí que resulten més complexes i poden causar greus danys si no comptem amb polítiques i solucions de seguretat que ens ajuden a detectar-les i mitigar els seus efectes nocius.