Un estudio realizado por el equipo de investigación de ESET reveló una campaña activa que distribuye el malware infostealer Formbook a través de correos electrónicos maliciosos. Esta operación ha impactado principalmente a empresas en México y Argentina, aunque otros países como Colombia, Ecuador, Perú y Chile también han sido afectados. La estrategia utiliza archivos adjuntos falsos que simulan currículums, cotizaciones o formularios de pedidos, engañando especialmente a empleados de áreas como Recursos Humanos y Finanzas.

El malware Formbook es conocido por su capacidad para robar información sensible como credenciales, registros de teclado y capturas de pantalla. Su implementación se logra mediante un archivo compilado en Autoit que, al ejecutarse, inicia un proceso de infección culminando con la instalación de Formbook. Según expertos, esta amenaza ha incrementado sus detecciones en un 200% desde principios de año, destacándose como uno de los mayores riesgos en la región.

Análisis de la Campaña Maliciosa

La campaña se basa en correos electrónicos diseñados específicamente para comprometer dispositivos corporativos. Estos mensajes contienen archivos adjuntos aparentemente legítimos, pero que, en realidad, desencadenan la ejecución de código malicioso. Al abrir estos archivos, se descarga un archivo compilado en Autoit que actúa como puerta de entrada para el malware final.

Este tipo de tácticas cibernéticas aprovecha la confianza de los usuarios hacia documentos comunes en entornos laborales. Los atacantes utilizan nombres sugestivos en los archivos adjuntos, como "CV Benedita Oliveira.zip" o "Facturas de pago", para persuadir a las víctimas de abrirlos sin sospechar. Una vez ejecutado, el archivo compila varios componentes necesarios para descargar e instalar Formbook, un malware especializado en exfiltrar información crítica.

En detalle, cuando se abre el archivo adjunto, este crea dos archivos temporales en el sistema de la víctima. A través de un proceso complejo, decodifica ciertos elementos y genera una shellcode que será inyectada en procesos legítimos del sistema, como svchost. Este mecanismo permite que el malware evada sistemas de seguridad tradicionales mientras realiza actividades maliciosas en segundo plano. Las acciones incluyen la recolección de contraseñas almacenadas, monitoreo de actividad del teclado y envío de datos recolectados a servidores controlados por los atacantes.

Impacto Regional y Medidas Preventivas

Esta amenaza ha demostrado ser altamente efectiva en América Latina, particularmente en México y Argentina, donde se han registrado más del 50% de las detecciones. Los especialistas subrayan que, aunque el código puede variar ligeramente entre países, las técnicas empleadas son consistentemente similares. Esto indica una planificación cuidadosa detrás de la campaña.

Para mitigar riesgos asociados con esta amenaza, es crucial aumentar la conciencia sobre ingeniería social y mejorar prácticas de seguridad dentro de las organizaciones. Los empleados deben recibir capacitación regular para identificar correos sospechosos y evitar abrir archivos adjuntos desconocidos. Además, contar con soluciones avanzadas de detección de amenazas puede proporcionar una capa adicional de protección contra ataques como este. Expertos recomiendan mantener actualizados todos los sistemas y aplicar políticas de seguridad robustas que limiten la ejecución de software no autorizado.

Es importante destacar que la prevención comienza con una educación adecuada. Empresas deben invertir en herramientas tecnológicas que complementen buenas prácticas de seguridad digital. Con una combinación de tecnología innovadora y entrenamiento constante, se pueden reducir significativamente los riesgos derivados de campañas maliciosas como esta. En última instancia, la clave reside en anticiparse a las tácticas de los atacantes mediante un enfoque proactivo y colaborativo entre equipos técnicos y usuarios finales.