Los ciberdelincuentes no suelen recurrir a las instituciones educativas para difundir ciberamenazas, sino que normalmente utilizan ganchos asociados a compañías de reconocido prestigio, entidades bancarias u organismos gubernamentales. Sin embargo, ESET ha alertado que últimamente está circulando una campaña maliciosa en la que los hackers se están haciendo pasar por la Universidad Autónoma de Barcelona (UAB) utilizando una dirección de correo electrónico que supuestamente tiene un dominio de esa entidad.
Desde la propia UAB nos han aclarado que el e-mail empleado en este ataque de phishing no ha salido de sus servidores ni es resultado de ningún robo de cuenta y/o credenciales ni de cualquier otro fallo de seguridad en sus sistemas.
"Básicamente, se trata de un correo enviado desde un servidor que no es de la UAB y que utiliza como remitente aparente, pero no real, la dirección de correo de un usuario de la UAB. Las credenciales de este usuario no han sido comprometidas ni filtradas", asegura la universidad barcelonesa, que se declara víctima de una suplantación de identidad.
En este sentido, ESET señala que este tipo de suplantaciones es, por desgracia, algo habitual y "no significa en ningún caso que la seguridad de la red o los sistemas de esta universidad, o de cualquier otra empresa suplantada, se hayan visto comprometidos". Además, recuerda que esta no es la primera vez que los ciberdelincuentes ponen sus ojos en una universidad española y que en los últimos años hemos visto otros ejemplos de suplantaciones, como las de la Universidad de Valencia o la Universidad Complutense de Madrid.
Una supuesta oferta de la Universidad Autónoma de Barcelona que esconde un 'infostealer'
Respecto a la campaña, la compañía de ciberseguridad explica que el correo electrónico utiliza como pretexto una supuesta oferta comercial de la UAB para la que se solicita un presupuesto, pero sin especificar qué tipo de presupuesto ni qué proyecto se está gestionando. "Esta información tan vaga puede hacer que los usuarios que reciban este mensaje procedan a abrir el fichero adjunto por curiosidad, o buscando más información acerca de esta propuesta".
En cuanto a este fichero adjunto, indica que es el responsable de iniciar la cadena de infección preparada por los autores de este ataque y que, aunque trata de dificultar la detección por parte del usuario apareciendo comprimido, eso no impide que sea detectado por una solución de seguridad efectiva.
"En su interior se suele encontrar algún tipo de fichero ejecutable (un EXE en este caso), que es el responsable de la infección y compromiso del sistema. La carga maliciosa puede ser muy diferente, aunque las campañas que se centran en propagar malware especializado en el robo de credenciales están muy activas en España desde hace tiempo. Por ese motivo, no es extraño comprobar que, en esta ocasión, nos encontramos ante una variante del conocido infostealer Formbook", señala ESET.
En Escudo Digital ya hemos informado anteriormente sobre Formbook, un malware especializado en el robo de información o un troyano infostealer que principalmente se utiliza contra empresas y que en España no es ni mucho menos desconocido, puesto que ha copado más del 60% de detecciones de este tipo de amenazas junto a Agent Tesla.
Finalmente, la empresa de ciberseguridad avisa que este caso pone de manifiesto que los ciberdelincuentes "pueden aprovechar casi cualquier cebo para conseguir nuevas víctimas", por lo que insta a estar alerta para identificar mensajes similares y recomienda adoptar una solución eficiente de seguridad "que pueda identificar estos correos maliciosos antes de que lleguen a nuestra bandeja de entrada".
🔑Nueva campaña de robo de credenciales usa cuenta de email de la Universidad Autónoma de Barcelona.
— ESET España (@ESET_ES) January 22, 2024
✉️Revisamos un nuevo caso de infostealer que se hace pasar por esta prestigiosa entidad para conseguir nuevas víctimas.
➡️https://t.co/vQqyYgQO71 pic.twitter.com/VFxufEBjvb