Watchguard Technologies ha identificado dos campañas simultáneas que utilizan diferentes técnicas para infectar a compañías en regiones específicas con el malware FormBook, un malware de robo de información que ataca a sistemas Windows y se distribuye por medio de archivos adjuntos en correo electrónico.
El objetivo es principalmente empresarial, donde América Latina es una de las regiones afectadas, al igual que España, Grecia, Eslovenia, Bosnia y Croacia. FormBook roba información sobre credenciales de acceso, datos guardados en navegadores y capturas de pantalla. Se presenta como un correo legítimo de orden de pago, cotización o pago pendiente, en el idioma de la región.
Descubierto en 2016, FormBook fue creado en foros cibercriminales clandestinos, donde se vende como “malware-as-a-service”; de acuerdo con el equipo de telemetría de WatchGuard ha sido usado en numerosas campañas de phishing a nivel mundial.
¿Cómo se despliega este ataque?
En ambas campañas, el malware se entrega en archivos adjuntos a correos electrónicos relacionados con temas administrativos. El equipo de telemetría de Watchguard identificó que en una de las campañas se entrega en un archivo RAR con tres archivos DLL y un ejecutable en Windows (.EXE). El EXE se identificó como ImBox.exe, que pertenece al proyecto Sandboxie-plus. En la segunda campaña, el malware se envía por medio de un archivo JavaScript, que afecta al ejecutable.
En América Latina, el equipo de Watchguard identificó que los archivos adjuntos afectados tienen terminación .rar, .r00 o .arj y el nombre PO_. Los atacantes utilizaron cadenas de entrega y ejecución mixtas con el mismo objetivo: robo de identidad y obtención de datos en ambientes Windows.
Esta campaña es relevante, más allá del tipo de malware-as-a-service, porque muestra la capacidad de adaptación de FormBook, así como la diversidad de métodos usados para evitar la detección y abusar de software legítimo y confiable. Lo anterior comprueba que una defensa eficiente ya no puede depender sólo de un artefacto o indicador, telemetría de Watchguard recomienda que los equipos de seguridad monitoreen correos con archivos adjuntos, comportamiento anómalo al cargar DLLs, ejecución de PowerShell relacionada con los archivos adjuntos y cualquier signo de mapeo manual de DLLs en la memoria para contener la infección.
