Resurgen los falsos CV que propagan malware para atacar a las empresas

Este tipo de amenazas se engloban en la categoría de infostealers y actualmente España es el país en el que más se están detectando, según ESET.

Guardar

curriculo
curriculo

Los ataques de robo de información, los conocidos como infostealers o ladrones de información, están destacando últimamente como una de las amenazas que más afectan a las empresas españolas. La compañía de ciberseguridad ESET ha lanzado varios avisos al respecto en los últimos meses en los que ha situado España como el líder de los infostealers y como el país con más ataques a escritorios remotos a nivel mundial, y en los que también ha explicado cómo son los correos electrónicos que se utilizan en este tipo de ciberataques.

Este jueves ESET ha vuelto a advertir sobre esta ciberamenaza en una entrada de su blog en la que señala que las campañas de infostealers también se están propagando en e-mails que reutilizan una plantilla que perdura con el paso de los años y que usa como cebo el supuesto envío de un currículum.

Falsos CV usados para desplegar malware y robar información

Según indica Josep Albors, director de Investigación y Concienciación de ESET España y autor de esta publicación, la redacción del correo no es especialmente mala y podría pasar por legítimo ante los ojos de la mayoría de los usuarios. En él, se hace mención al fichero adjunto, un supuesto CV que viene en formato IMG y que, en realidad, contiene un archivo ejecutable con un código malicioso.

E mail malicioso que adjunta un falso CV
E-mail malicioso que adjunta un falso CV (Fuente: ESET)

"En el caso de que un usuario ejecute este fichero pensando que se trata de un documento conteniendo un currículum, se iniciará una cadena de infección con un comando PowerShell y siguiendo con la configuración de una tarea programada", alerta Albors, y agrega: "La finalidad de este malware mediante esta ejecución es conseguir persistencia en el sistema infectado para que los atacantes puedan acceder a él remotamente cuando así lo deseen y, principalmente, proceder al robo de información confidencial".

El director de Investigación y Concienciación de ESET España precisa que nos encontramos ante una herramienta de control remoto o RAT maliciosa de la familia NanoCore, una vieja conocida junto a otras familias como Agent Tesla o Formbook. Según advierte, estas amenazas se usan para robar credenciales que puedan ser utilizadas en ataques posteriores a esa u a otras empresas y están experimentando un considerable aumento en los últimos años. Además, apunta que permite a los ciberdelincuentes tener acceso remoto a los equipos infectados por lo que no solo pueden robar la información almacenada en ellos, sino que también pueden utilizarla para sus propios fines.

Albors continúa explicando que, al tratarse de un malware conocido, se puede analizar el tráfico que realiza y si se está utilizando un servidor de comunicación controlado directamente por los atacantes o se trata de uno legítimo que ha sido previamente comprometido, como parece ser este caso. "Precisamente, el análisis del tráfico que se establece por parte del malware una vez ha infectado el sistema y los servidores suele servir para identificar qué tipo de amenaza estamos analizando, ya que varias de ellas utilizan puertos de comunicación y paquetes con ciertas características que no suelen cambiar en bastante tiempo".

Análisis de tráfico
Análisis de tráfico (Fuente: ESET)

Como también indica el experto de ESET, las herramientas de control remoto maliciosas que suelen utilizar los hackers suelen dejar ciertas "huellas" características que hacen que sea posible detectar a qué regiones se están dirigiendo. Actualmente, y basándose en la telemetría de ESET durante el primer cuatrimestre de este año, reitera que España se sigue situando en la primera posición en lo que respecta a la detección de los infostealers, que además incluyen otras amenazas como los troyanos bancarios.

"Esta situación no es nueva y llevamos varios meses observándola. El motivo por el que se detectan tantos ataques dirigidos principalmente a empresas españolas puede estar relacionado con la falta de concienciación acerca de este tipo de correos y la facilidad que aún tienen los delincuentes para infectar dispositivos conectados a redes corporativas", añade Albors, que concluye su publicación apostillando que este tipo de correos suelen enviarse de forma masiva y continua, por lo que es primordial concienciar a los usuarios para que sean capaces de detectarlos y desplegar soluciones de seguridad antes de que sea demasiado tarde.