Campaña maliciosa: Autoit y Formbook atacan a empresas de Latam

Share Article

Campaña maliciosa emplea Autoit para atacar empresas de Latinoamérica con el infostealer Formbook

La creciente amenaza del cibercrimen en Latinoamérica ha tomado un nuevo giro alarmante. Durante los primeros días de febrero de este año, la empresa de ciberseguridad ESET reportó un aumento del 20% en las detecciones de una familia de malware conocido como Win32/Injector.Autoit. Este incremento se ha concentrado principalmente en dos países: Argentina y México, pero también ha afectado a otras naciones como Colombia, Ecuador, Perú y Chile. Esta campaña maliciosa se ha dirigido a empresas de la región utilizando técnicas sofisticadas y un infostealer capaz de robar información sensible.

La amenaza del infostealer Formbook

La principal arma de esta campaña son correos electrónicos maliciosos diseñados para parecer legítimos, cuyos objetivos son principalmente las áreas de Recursos Humanos y Finanzas de las empresas. Dentro de estos correos, se adjuntan archivos que aparentemente simulan ser currículos, cotizaciones o formularios de pedidos. Sin embargo, al abrir estos archivos, lo que en realidad se ejecuta es un malware que termina inyectando la variante de Formbook en el dispositivo de la víctima.

¿Qué es Formbook?

Formbook es un tipo de malware conocido como "stealer", diseñado para robar información confidencial de los dispositivos infectados. Se ha convertido en una de las amenazas más comunes en el cibercrimen debido a su eficacia y facilidad de adquisición en el mercado negro digital. Las características del infostealer Formbook incluyen:

  • Robo de credenciales: Captura credenciales y otros datos sensibles ingresados en formularios web.
  • Keylogging: Registra las pulsaciones de teclado para obtener información adicional, como números de tarjetas de crédito y contraseñas.
  • Captura de pantallas: Toma capturas del dispositivo en momentos específicos.
  • Exfiltración de datos: Envía la información robada a servidores controlados por los atacantes.

Cómo se lleva a cabo la campaña

La campaña maliciosa que utiliza Autoit para ejecutar Formbook opera de manera sofisticada y sigilosa, lo que la convierte en una amenaza aún más peligrosa. A continuación, se explica el proceso de infección que sigue este malware:

Acceso inicial y ejecución

Los atacantes envían correos electrónicos en los que se incluyen archivos comprimidos con nombres que sugieren contenido legítimo. Algunos de los archivos utilizados en esta campaña son:

  • CV Benedita Oliveira.zip
  • curriculum vitae.zip
  • Facturas de pago 01124,01125,01126.zip
  • Solicitud de cotización.zip
  • NUEVO FORMULARIO DE PEDIDO 09-3880073016.ZIP

Estos nombres no solo engañan a los empleados de Recursos Humanos y Finanzas, sino que también incrementan la probabilidad de que sean abiertos.

Al ejecutar uno de estos archivos comprimidos, se ejecuta un archivo compilado en Autoit que inicia el proceso de infección. Esta técnica de engaño es una de las razones principales por las que este tipo de malware ha tenido tanto éxito en la región.

Proceso de infección

Una vez que el archivo es ejecutado, comienza un proceso de ejecución que implica las siguientes fases:

  1. Decodificación del archivo: Utilizando técnicas de ofuscación, el malware primero decodifica un archivo que contiene información crítica para la ejecución de la shellcode.
  2. Inyección del payload: A través de técnicas como API Hashing, el malware obtiene diferentes punteros a APIs de Windows, lo que le permite inyectar el programa malicioso dentro de procesos que son esenciales para el sistema operativo.
  3. Actividades maliciosas: Una vez que se instala el infostealer Formbook, este puede llevar a cabo sus actividades maliciosas, que incluyen la captura de credenciales, keylogging, y captura de pantalla.

Prevención y recomendaciones

Estar informado sobre las campañas cibernéticas es el primer paso para evitar ser víctima de un ataque. Aquí hay algunas recomendaciones efectivas que puedes seguir para protegerte:

  • Desconfía de correos sospechosos: Siempre verifica la autenticidad de los correos que recibes, especialmente si incluyen archivos adjuntos.
  • Mantén tu software actualizado: Las actualizaciones a menudo incluyen parches de seguridad que pueden proteger tu equipo de ataques recientes.
  • Utiliza soluciones de seguridad: Por ello, siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Además, nunca compartas información sensible o personal a través de correos electrónicos, especialmente si no estás seguro de la identidad del remitente.

Estrategias adicionales de seguridad digital

Para fortalecer la seguridad de tu empresa, considera añadir las siguientes estrategias:

  • Educación del personal: Realiza formaciones regulares para enseñar a los empleados a identificar correos electrónicos sospechosos y prácticas seguras en línea.
  • Implementa autenticación en dos pasos: Esto añade una capa adicional de seguridad a las cuentas sensibles, haciendo mucho más difícil el acceso no autorizado.
  • Establece políticas de uso de correo electrónico: Desarrolla políticas claras sobre cómo los empleados deben manejar correos electrónicos que contengan archivos adjuntos o enlaces.

La importancia de la ciberseguridad en Latinoamérica

En Latinoamérica, la ciberseguridad es un asunto crítico. Con un aumento considerable en las actividades de cibercrimen, las empresas deben ser proactivas en la implementación de medidas de seguridad. La instalación de software de protección es solo el primer paso.

Creación de un plan de respuesta ante incidentes

Establecer un plan de respuesta ante incidentes es esencial. Asegúrate de que tu equipo conozca cómo actuar en caso de un ataque. Incluye los siguientes puntos en tu plan:

  1. Identificación del tipo de ataque: Entender qué tipo de malware ha infectado el sistema es crucial para una respuesta efectiva.
  2. Aislamiento del sistema afectado: Desconectar el sistema afectado de la red puede ayudar a contener el ataque.
  3. Notificación a las partes interesadas: Mantener informado a tu equipo y a partes interesadas en la empresa puede ayudar en la gestión del incidente.

Evaluación y ajustes continuos de seguridad

La ciberseguridad no es un esfuerzo de una sola vez. Es importante revisar y ajustar regularmente tus políticas y prácticas de seguridad para adaptarse a nuevas amenazas y tecnologías. Además, poner en práctica auditorías de seguridad periódicas puede ayudarte a identificar vulnerabilidades antes de que sean explotadas.

Conclusión

La campaña maliciosa emplea Autoit para atacar empresas de Latinoamérica con el infostealer Formbook, es un recuerdo escalofriante del peligro constante al que se enfrentan las organizaciones. Ser proactivo e informado es esencial para proteger tu información y la de tu empresa. Si no lo has hecho ya, asegúrate de descargar el antivirus gratuito disponible en nuestra sección de descargas de seguridad recomendadas. Mantente alerta y capacita a tu equipo para reducir el riesgo de ser víctima de ataques cibernéticos.

Fuente: https://www.welivesecurity.com/es/investigaciones/autoit-distribuye-infostealer-formbook-empresas-latinoamerica/

You might also like

¿Cuál es el mejor antivirus gratuito?

En la era digital en la que vivimos, es fundamental contar con un buen antivirus para proteger nuestros dispositivos de posibles amenazas cibernéticas. Sin embargo,

24 de mayo de 2024

#Mindey

@mindey