Las campañas de correos electrónicos maliciosos dirigidos a las empresas continúan siendo una amenaza constante, aprovechando temáticas relevantes para atrapar a usuarios desprevenidos. En esta ocasión, un correo que alega referirse al pago del IVA se ha convertido en el anzuelo perfecto para tratar de engañar a departamentos con alta carga de trabajo, como ventas, administración o facturación.
Este nuevo correo malicioso se destaca por su particular método de infección. Contrario a la tendencia habitual de adjuntar archivos ejecutables comprimidos, los ciberdelincuentes han optado por un archivo CAB, un formato nativo de ficheros comprimidos de Windows. Este archivo esconde un pequeño script de Visual Basic, con un peso de apenas 830 bytes, pero suficiente para iniciar la infección a través de un comando PowerShell.
Esta infección se desarrolla en etapas: el comando PowerShell descarga otro script desde una URL ofuscada, que a su vez descarga el payload malicioso. Esta técnica, aunque no es novedosa, busca complicar la detección y el análisis de la amenaza. Sin embargo, las soluciones de seguridad que analizan de manera dinámica toda la cadena de infección pueden detectar estas amenazas desde su inicio.
El protagonista detrás de este ataque es Remcos, una herramienta de control remoto (RAT, por sus siglas en inglés) apoyada por ModiLoader. Aunque Remcos se publicita como un software legal, ha sido empleado maliciosamente durante años por diversos grupos de ciberdelincuentes. ModiLoader, por su parte, es un cargador de malware que generalmente utiliza servicios de almacenamiento en la nube para ejecutar las diferentes fases de infección.
Conclusión
Es imperativo adaptarnos a la realidad de las constantes campañas de ladrones de información (infostealers) que apuntan a empresas de todos los sectores. El impacto de estos ataques puede ser devastador, con el potencial de interrumpir operaciones y comprometer información confidencial. Sin embargo, el conocimiento y la prevención son la clave: identificar los tipos de correos empleados y contar con soluciones de seguridad robustas que puedan detectar y neutralizar estas amenazas a tiempo.
Fuente: Eset