La suplantación de empresas reconocidas es algo que los delincuentes llevan realizando desde hace mucho tiempo para que sus campañas sean más convincentes y conseguir así nuevas víctimas. Ya se trate de una empresa de transporte, un comercio que vende sus productos online, una energética o entidad financiera, la utilización de una marca reconocida con fines maliciosos puede hacer que la tasa de éxito aumente considerablemente.
Esta semana, ESET, compañía líder en ciberseguridad, ha detectado dos recientes amenazas involucrando el Snake Keylogger, un tipo de malware diseñado para robar credenciales de acceso a sistemas y servicios en línea. En los últimos casos detectados, se han usado conocidas marcas españolas como Repsol y el Banco Santander para hacer creer a las víctimas que tienen una factura pendiente de pago o una revisión de presupuesto.
Método de ataque e infección de los sistemas
El mercado de los infostealers está dominado por varias familias como Agent Tesla, Formbook, Lumma Stealer o, como el caso que nos ocupa Snake Keylogger. Sin embargo, todas estas amenazas tienen la misma finalidad: robar credenciales de todo tipo almacenadas en los sistemas que infectan. Estas credenciales pueden pertenecer a cuentas de correo, VPNs o incluso a servicios de juegos online o servicios relacionados con criptomonedas. Todas estas credenciales robadas les sirven a los delincuentes para sacar un beneficio económico de forma directa o indirecta.
La forma de actuar de estas amenazas también suele ser similar ya que, una vez el usuario ha caído en la trampa y ha ejecutado el fichero adjunto malicioso se inicia la cadena de infección, que termina descargando el infostealer elegido para una campaña en concreto, recopilando todas las credenciales que pueda del sistema (obteniéndolas, por ejemplo, de los navegadores usados por la víctima) y enviándoselas a los delincuentes.
Una de las técnicas más utilizadas en estas campañas es el envío de correos electrónicos fraudulentos que simulan provenir de empresas reconocidas. Los correos suelen estar bien diseñados, con logotipos y formatos creíbles, pero tienen señales de alerta, como errores en el remitente o enlaces inactivos que solo son imágenes. En muchos casos, los atacantes utilizan direcciones legítimas que han sido previamente comprometidas, permitiendo que sus mensajes no sean bloqueados por filtros de spam durante las primeras horas del ataque.
El archivo adjunto en estos correos no es una factura real, sino un script malicioso que, al ejecutarse, inicia una cadena de infección mediante comandos de PowerShell. Este proceso permite la instalación del Snake Keylogger, que se encarga de recopilar credenciales almacenadas en navegadores y otros sistemas del usuario.
Algunas campañas recientes han empleado la variante VIPKeylogger, que ha sido usada por ciberdelincuentes desde 2020. Este malware permite a los atacantes acceder a cuentas de correo, VPNs, servicios bancarios, plataformas de criptomonedas y otros datos sensibles. Posteriormente, las credenciales robadas pueden ser vendidas en la dark web o utilizadas para nuevos ataques.
El impacto en las víctimas y como protegerse
Las empresas, especialmente las pymes, son las más afectadas por estas estafas. Con las credenciales robadas, los delincuentes pueden infiltrarse en redes corporativas, robar información confidencial e incluso usar los correos electrónicos de las víctimas para propagar nuevas campañas maliciosas.
“A pesar de que este tipo de ataques no son nuevos, siguen funcionando porque los ciberdelincuentes mejoran constantemente sus estrategias. La concienciación y la prevención son clave para evitar ser víctima de estas campañas fraudulentas”, comenta Josep Albors, director de investigación y concienciación de ESET España. Por ello, el experto advierte que, para evitar caer en estas trampas, es fundamental:
- Desconfiar de correos electrónicos con facturas inesperadas o urgentes.
- Revisar cuidadosamente el remitente y los enlaces antes de hacer clic.
- No descargar ni ejecutar archivos adjuntos sospechosos.
- Implementar medidas de seguridad como la autenticación en dos pasos.
- Contar con soluciones de ciberseguridad capaces de detectar estas amenazas antes de que causen daño.
