Para los empleados que reciben cientos de correos electrónicos, la tentación de hacer una lectura rápida y descargar los archivos adjuntos en piloto automático puede ser irresistible. Y, por supuesto, los ciberdelincuentes se aprovechan y envían documentos supuestamente importantes que pueden incluir de todo: desde enlaces de phishing hasta malware. Recientemente, nuestros expertos han descubierto dos campañas de spam muy parecidas que distribuyen los troyanos bancarios IcedID y Qbot.
El spam con documentos maliciosos
Ambos correos electrónicos estaban disfrazados de correspondencia empresarial. En el primer caso, los atacantes exigían compensación por algún motivo ridículo o mencionaban algo sobre cancelar una operación. El mensaje contenía adjunto un archivo Excel comprimido con el nombre CompensationClaim y varios números. La segunda ola de correos de spam involucraba pagos y contratos, e incluía un enlace al sitio web hackeado que almacenaba el archivo con el documento.
En ambos casos, el objetivo de los atacantes era persuadir al destinatario para que abriera el archivo malicioso de Excel y ejecutara el macro que contenía, y así descargara IcedID o Qbot (menos común) en el equipo de la víctima.
IcedID y Qbot
Los troyanos bancarios IcedID y Qbot existen desde hace años; los investigadores percibieron IcedID por primera vez en el 2017 y Qbot está en servicio desde el 2008. Además, los atacantes constantemente afinan sus técnicas. Por ejemplo, en algún momento ocultaron el componente principal de IcedID en una imagen PNG con un truco llamado esteganografía que es muy difícil de detectar.
Hoy, ambos programas maliciosos están disponibles en el mercado alternativo; además de sus creadores, muchos clientes distribuyen estos troyanos. La tarea principal del malware es robar la información de la tarjeta bancaria y las credenciales de inicio de sesión de las cuentas bancarias, de preferencia de cuentas empresariales (esto explica los correos con estilo comercial). Para lograr sus objetivos, los troyanos emplean múltiples métodos. Por ejemplo, podrían:
- Inyectar una secuencia de comandos en una página web para interceptar los datos que el usuario introduzca.
- Redirigir a los usuarios de la banca online a una página de inicio de sesión falsa.
- Robar datos guardados en el navegador.
Qbot también puede registrar las pulsaciones de tecla para interceptar las contraseñas.
Desafortunadamente, el robo de la información de pago no es el único problema que depara a las víctimas. Por ejemplo, IcedID puede descargar otro malware, incluido ransomware, para infectar los dispositivos. Mientras tanto, los trucos de Qbot incluyen robar cadenas de correos para utilizarlas en otras campañas de spam y proporcionar a sus operadores acceso remoto a los ordenadores de las víctimas. En nuestros equipos de trabajo en particular, las consecuencias pueden ser graves.
Cómo mantenerse a salvo de los troyanos bancarios
Independientemente de la habilidad de los cibercriminales, no necesitas reinventar la rueda para mantenerte a salvo. Ambas campañas de spam en cuestión dependen de que los destinatarios tomen acciones arriesgadas; si no abren el archivo malicioso y dejan que se ejecute el macro, esta estrategia no funciona. Para reducir tu probabilidad de convertirte en su víctima:
- Comprueba la identidad del remitente, incluido el nombre de dominio. Alguien que diga ser un contratista o cliente corporativo pero que utilice una dirección de Gmail, por ejemplo, puede ser sospechoso. Y si no sabes quién es el remitente, pregunta a tus compañeros.
- Prohíbe los macros de forma predeterminada y trata los documentos que requieran que habilites los macros u otro contenido con sospecha. Nunca ejecutes un macro a menos que estés absolutamente seguro de que el archivo las necesita y es seguro.
- Instala una solución de seguridad de confianza. Si trabajas en un dispositivo personal o tu jefe no es tan estricto con la protección de tu estación de trabajo, asegúrate de que esté protegido. Nuestros productos detectan tanto IcedID como Qbot.