A la hora de analizar las campañas detectadas en España que usan el correo electrónico como principal vector de ataque comprobamos como muchas de ellas van dirigidas a los departamentos de ventas y administración de pequeñas y medianas empresas. Sin embargo, también podemos encontrarnos campañas más dirigidas y que buscan un objetivo concreto relacionado con el sector público, algo que ya ha causado más de un incidente en numerosos ayuntamientos repartidos por toda la geografía española.
Un justificante de transferencia con un objetivo muy claro
Revisando las campañas detectadas recientemente en nuestro laboratorio nos ha llamado la atención una que, bajo la apariencia de un sencillo correo haciéndose pasar por el Banco Santander y adjuntando un supuesto comprobante de pago, tiene en copia a cientos de direcciones de correos vinculadas a ayuntamientos de toda España.
El cuerpo del mensaje es muy similar al que hemos visto ya en numerosos casos, donde se hace referencia a una factura, presupuesto o, como en este caso, a un justificante de transferencia. Se pide al receptor de este mensaje que revise el fichero adjunto, fichero que resulta ser una amenaza preparada para infectar el sistema.
Lo destacable de este caso en particular es a quien va dirigido este mensaje ya que, si revisamos los destinatarios en copia comprobaremos que aparecen cientos de correos electrónicos supuestamente pertenecientes a ayuntamientos españoles. Es muy probable que todos estos emails hayan sido recopilados por los delincuentes usando para ello alguna de las filtraciones de datos que se han producido en España en los últimos años.
Resulta muy interesante detectar una campaña así ya que, normalmente, los delincuentes suelen dirigir estos emails a empresas y no suelen cometer el error de poner en copia visible el resto de destinatarios. No obstante, los ayuntamientos y otros organismos oficiales no son ajenos a todo tipo de incidentes producidos por amenazas y ciberataques, especialmente amenazas conocidas como la que analizaremos a continuación.
El robo de credenciales como paso previo a un ciberataque
Tal y como sucede en casos similares a este que se suelen propagar prácticamente a diario, el fichero adjunto al email está comprimido para que el sistema operativo Windows no lo marque como sospechoso al haber sido descargado desde Internet. Sin embargo, solo con descomprimirlo podemos observar que el supuesto documento no es lo que dice ser, ya que se trata, en realidad de un archivo ejecutable.
La cadena de infección de esta amenaza es relativamente sencilla y muy común a las amenazas que observamos a diario. Se ejecuta el fichero que, supuestamente, contenía el justificante de transferencia y que, en realidad, es un descargador de malware conocido como GuLoader. Este descargador es usado para descargar el payload o carga maliciosa, en este caso usando un comando en PowerShell.
En esta ocasión, la carga maliciosa es otra muestra del ladrón de credenciales VIPKeylogger, derivado de Snake Keylogger y que lleva unas semanas bastante activo en varios países, entre los que se encuentra España.
Este tipo de amenazas se especializa en el robo de credenciales de todo tipo, obteniéndolas de las que hay almacenadas en clientes de correo, navegadores de Internet, clientes FPT o VPNs. Si bien su finalidad inicial era conseguir credenciales que les ayudaran a comprometer la seguridad de redes corporativas, los delincuentes también han usado estas amenazas para robar credenciales de servicios de uso personal tales como accesos a banca online, servicios de streaming de música y vídeo, juegos online y servicios y carteras relacionados con criptomonedas, entre otros. Además, se está extendiendo el uso de infostealers entre grupos APT contra objetivos muy concretos.
Estas credenciales son recopiladas por el malware para, seguidamente, ser enviadas de vuelta al ciberdelincuente usando varios métodos. En esta ocasión, tras revisar la configuración del malware observamos como las credenciales robadas son enviadas a una dirección de Gmail, probablemente controlada por el delincuente, usando una cuenta de correo robada.
Las credenciales robadas pueden ser usadas de varias formas por los delincuentes, ya sea para enviar nuevas campañas maliciosas usando cuentas de correo robadas o acceder a las redes corporativas de empresas y organismos oficiales comprometidos para robar información confidencial y, en algunos casos, proceder a cifrarla a continuación para solicitar un rescate si la víctima quiere recuperarla y/o que no salga a la luz.
Conclusión
Aunque las empresas siguen siendo el principal objetivo de los ciberdelincuentes, es destacable que hayamos detectado una campaña dirigida específicamente a ayuntamientos españoles. Por ese motivo conviene recordar la importancia que tiene la inversión en seguridad, no solo a nivel particular y empresarial, sino también por parte de la administración pública que, al fin y al cabo, es responsable de custodiar mucha información que nos puede poner en un apuro de caer en malas manos.
