Los cibercriminales no descansan: no dejan de probar nuevas técnicas ni de realizar nuevos intentos para estafarnos, robarnos los datos o, peor, robarnos los datos para estafarnos. El blog de ESET España recordaba recientemente que Formbook, una de las variantes de malware más activas en estos últimos meses, se está difundiendo ahora gracias a una nueva campaña de e-mails para suplantar entidades bancarias españolas. Te contamos cómo reconocerla y evitarla.
¿Por quién se hacen pasar?
Por ahora, las entidades detectadas como camuflaje de esta nueva campaña de malware son el Banco Sabadell y el Banco Santander. Aquí os mostramos una captura de pantalla de los e-mails detectados por ESET:
Por supuesto, esta misma táctica es aplicable a cualquier institución española o extranjera, por lo que es posible que podamos encontrarnos con un e-mail similar supuestamente enviado por otro banco diferente.
¿Cómo atraen nuestra atención?
La excusa para animarnos a abrir el archivo malicioso adjunto es, en el primer caso, un comprobante de transferencia que nos animan a revisar, y una liquidación de pago en el segundo. Ambos, documentos cuya temática facilita que el usuario intente echarles un vistazo.
¿Qué 'canta' en los e-mails?
- En el del Sabadell, el correo llega aparentemente desde el verdadero servidor de e-mail de la entidad (hay formas de trampear esto, o también pueden haber sufrido el 'secuestro' de una de sus cuentas). Sin embargo, llama muchísimo la atención que hagan uso de una plantilla que menciona la red social Google+, que lleva años desaparecida.
- En el caso del falso correo del Santander, la trampa es mucho más obvia: tras la arroba nos encontramos con el llamativo dominio 'autocentrobernardino.es'. Obviamente, sin ninguna relación con el banco en cuestión.
¿Qué pasa con los archivos adjuntos?
En lugar de encontrarnos con el habitual fichero PDF (la opción más lógica teniendo en cuenta el tipo de documento del que presuntamente se trata), nos encontramos con archivos comprimidos que contienen:
- En un caso, un fichero ejecutable .exe que abre GuLoader (un descargador de malware que se encarga de instalar Formbook).
- Y el otro, un script .vbs que ejecuta un comando PowerShell con el objetivo de descargar y ejecutar el malware en nuestro sistema.
Pero, ¿qué es Formbook y qué puede hacer con nuestro equipo?
Formbook es un tipo de malware especializado en el robo de información valiosa, lo que conocemos como un 'infostealer'. Concretamente, roba credenciales de inicio de sesión que busca y extrae de nuestro PC (de aplicaciones de e-mail, de navegadores web, y de clientes FTP o VPN) y que luego remite por Internet a los ciberatacantes. Ellos después la usarán para acceder a nuestra información personal, o quizá para enviar otros mensajes maliciosos desde nuestra cuenta de correo y así seguir difundiendo el ciberataque.
¿Qué tienes que recordar comprobar para no caer víctima de esta campaña o alguna similar?
- Los bancos sólo envían e-mails desde sus dominios oficiales. No cuesta nada buscarlo un momento en Google antes de abrir un archivo adjunto o de pulsar algún enlace.
- La referencia en el e-mail a redes sociales inexistentes, o un texto inadecuadamente escrito (mala ortografía y/o gramática, o un vocabulario propio de otras variantes del español si la empresa es de España) debe hacernos sospechar.
- Hoy en día, empresas e instituciones suelen enviar sus documentos en formato PDF. Desconfíe de cualquier otro formato.
- Mantenga siempre instalado y actualizado en su sistema un buen anti-malware.
- No es tan fácil robar credenciales si usamos algún buen gestor de contraseñas en nuestro equipo (y si, por supuesto, no vamos dejando guardadas dichas contraseñas en navegadores y similares).
Imágenes | Pxfuel (+ logos de Banco Santader y Banco Sabadell), ESET
En Genbeta | Así consiguió una víctima de phishing recibir de su banco los 12.000 euros que le habían robado en una estafa SMS