Para los empleados que reciben cientos de correos electrónicos, la tentación de hacer una lectura rápida y descargar los archivos adjuntos en piloto automático puede ser genial. Y, por supuesto, los cibercriminales se aprovechan y envían documentos al parecer importantes que puede incluir de todo desde enlaces de phishing hasta malware. Recientemente, nuestros expertos descubrieron dos campañas de spam muy parecidas que distribuyen los troyanos bancarios IcedID y Qbot.
Spam con documentos maliciosos
Ambos correos electrónicos estaban disfrazados de correspondencia empresarial. En el primer caso, los atacantes exigieron compensación por alguna razón ridícula o mencionaron algo sobre cancelar una operación. El mensaje contenía adjunto un archivo Excel comprimido con el nombre CompensationClaim y varios números. La segunda ola de correos de spam involucraba pagos y contratos, e incluía un enlace al sitio web hackeado que almacenaba el archivo que contenía el documento.
En ambos casos, el objetivo de los atacantes era persuadir al destinatario para que abriera el archivo malicioso de Excel y ejecutara en macro que contenía, para que de esta manera descargara IcedID o Qbot (menos común) en la máquina de la víctima.
IcedID y Qbot
Los troyanos bancarios IcedID y Qbot existen desde hace años; IcedID fue notado primero por los investigadores en 2017 y Qbot está en servicio desde 2008. Además, los atacantes constantemente afinan sus técnicas. Por ejemplo, en algún momento ocultaron el componente principal de IcedID en una imagen PNG con un truco llamado esteganografía que es muy difícil de detectar.
El día de hoy, ambos programas maliciosos están disponibles en el mercado sombra; además de sus creadores, muchos clientes distribuyen estos troyanos. La tarea principal del malware es robar la información de la tarjeta bancaria y las credenciales de inicio de sesión de las cuentas bancarias, de preferencia de cuentas empresariales (esto explica los correos con estilo comercial). Para lograr sus objetivos, los troyanos emplean múltiples métodos. Por ejemplo, podrían:
- Inyectar una secuencia de comandos en una página web para interceptar los datos que el usuario ingrese.
- Redirigir a los usuarios de la banca en línea a una página de inicio de sesión falsa.
- Robar datos guardados en el navegador.
Qbot también puede registrar las pulsaciones de tecla para interceptar las contraseñas.
Desafortunadamente, el robo de la información de pago no es el único problema que le espera a las víctimas. Por ejemplo, IcedID puede descargar otro malware, incluido ransomware, para infectar los dispositivos. Mientras tanto, los trucos de Qbot incluyen robar cadenas de correos para utilizarlas en otras campañas de spam, y proporcionar a sus operadores acceso remoto a las computadoras de las víctimas. En nuestras máquinas de trabajo en particular, las consecuencias pueden ser graves.
Cómo mantenerse a salvo de los troyanos bancarios
Sin importar que tan hábiles puedan ser los cibercriminales, no necesitas reinventar la rueda para mantenerte a salvo. Ambas campañas de spam en cuestión dependen de que los destinatarios tomen acciones riesgosas; si no abren el archivo malicioso y dejan que ejecute el macro, esta estrategia no funciona. Para reducir tu probabilidad de convertirte en su víctima:
- Verifica la identidad del remitente, incluido el nombre de dominio. Alguien que se diga ser contratista o un cliente corporativo pero que utilice una dirección de Gmail, por ejemplo, puede ser sospechoso. Y si solo no sabes quién es el remitente, pregunta a tus colegas.
- Prohíbe los macros de manera predeterminada, y trata los documentos que requieran que habilites los macros u otro contenido con sospecha. Nunca ejecutes un macro a menos que estés absolutamente seguro de que el archivo los necesita y es seguro.
- Instala una solución de seguridad de confianza. Si trabajas en un dispositivo personal, o tu empleador no es tan estricto con la protección de tu estación de trabajo, asegúrate de que esté protegido. Nuestros productos detectan tanto IcedID como Qbot.