Usuarios corporativos se han visto afectados recientemente por una nueva campaña de spam que infecta dispositivos a través de archivos PDF que se reenvían a hilos de emails. El informe realizado por Kaspersky revela que desde principios de abril se han distribuido más de 5.000 correos en inglés, alemán, italiano y francés y la propagación continúa activa.
La infección la provoca Qbot, también conocido como Qakbot, un troyano que roba credenciales bancarias e información de seguridad (como contraseñas), descubierto en el año 2007. Desde entonces no ha perdido vigencia y sus autores fueron desarrollándolo con diferentes objetivos, ampliando su funcionalidad a espiar correos de trabajo y actividades bancarias de las organizaciones, y diversificándose para abrir las puertas traseras e instalar otros tipos de malware, como ransomware y otros troyanos.
A su vez ha ido incrementando sus capacidades, como el registro de pulsaciones de teclas y técnicas para evadir la detección. Si bien siempre se distribuyó por correo electrónico, la novedad de esta campaña reside en que el archivo infectado es un PDF, algo que no se había registrado hasta ahora.
Los delincuentes le solicitan a la potencial víctima que abra el archivo PDF malicioso con excusas variadas que tienen que ver con el hilo de emails interceptado, como puede ser el monto de un contrato o costes estimados de una operación, entre otros.
El PDF en cuestión es una imagen que imita una notificación de Microsoft Office 365 o Microsoft Azure, y cuando el usuario lo abre, se descarga el archivo malicioso en el equipo desde un servidor remoto.
En cuanto a la incidencia de Qbot, se han registrado mayor cantidad de infecciones en Alemania (28.1%), Argentina (9.7%) e Italia (9.5%), apareciendo España (5.5%) en el quinto lugar de los países mas afectados.
“Nuestra recomendación para las empresas es que se mantengan alerta, ya que Qbot es muy dañino. Los ciberdelincuentes lo han mejorado con técnicas de ingeniería social, lo que aumenta las posibilidades de que un empleado acabe picando. Para evitar caer en el engaño, es recomendable verificar cuidadosamente la ortografía de los correos, la dirección del remitente, posibles errores gramaticales y archivos adjuntos extraños”, explica Darya Ivanova, analista de malware de Kaspersky.
Medidas de seguridad
Para protegerse frente a esta y otras amenazas similares, Kaspersky realiza algunas recomendaciones básicas. En primer lugar, siempre revisar la dirección del remitente del email. La mayoría del spam llega de direcciones de correo electrónico extrañas, diferentes a las habituales. Si se pasa el cursor sobre la misma, se puede ver al completo y salir definitivamente de dudas. Para verificar si es legítima, es también recomendable escribirla en un buscador de internet y ver los resultados que arroja.
A su vez, es importante ser cauteloso con los mensajes que solicitan realizar acciones con urgencia. Los ciberdelincuentes utilizan esta táctica para que la víctima piense lo menos posible.
Proveer a los equipos de formación en higiene cibernética siempre es una medida favorable. Es interesante realizar ataques simulados de phishing para que la plantilla aprenda a diferenciar los correos de suplantación de identidad de los auténticos.
En cuanto a las herramientas disponibles para el cuidado de los equipos y la información de la empresa, resultan útiles las soluciones antiphishing para proteger endpoints y servidores de correo, y también los software específicos para el escaneo de correos y la detección de ciberamenazas.