En los primeros meses del año, un aumento significativo en las detecciones de malware ha llamado la atención en varios países de América Latina. Según datos proporcionados por ESET Latam, se observó un crecimiento del 20% en las alertas relacionadas con una familia específica de amenazas conocida como Win32/Injector.Autoit. Este incremento afectó principalmente a Argentina y México, que representan más del 50% de las detecciones, seguidos por Colombia, Ecuador, Perú y Chile. Estas campañas maliciosas utilizan correos electrónicos falsos dirigidos a áreas clave dentro de las empresas, especialmente Recursos Humanos y Finanzas, para distribuir el infostealer Formbook, un software que roba información sensible y que ha experimentado un notable ascenso en su actividad.
El origen de esta ola de ataques se encuentra en campañas activas basadas en correos electrónicos engañosos diseñados específicamente para comprometer sistemas corporativos. Los ciberdelincuentes aprovechan la apariencia legítima de estos mensajes, simulando documentos comunes como currículums, cotizaciones o formularios de pedidos. Una vez ejecutados, estos archivos desencadenan la instalación de un malware compilado en Autoit, lo que permite la inyección final de Formbook en los dispositivos infectados. Este programa no solo roba credenciales ingresadas en formularios web, sino que también registra pulsaciones del teclado y captura pantallas, exfiltrando toda la información recolectada hacia servidores controlados por los atacantes.
Los expertos en seguridad digital han detectado patrones similares entre las técnicas empleadas en diferentes países de la región. Aunque los códigos pueden variar ligeramente según la localización geográfica, las funciones subyacentes mantienen una estructura consistente. Como explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, los artefactos maliciosos descargados primero obtienen una shellcode para ser inyectados en procesos críticos del sistema operativo, permitiendo así la ejecución final del payload malicioso.
Un análisis detallado revela cómo funciona este proceso. Todo comienza con la recepción de un correo electrónico adjuntando un archivo comprimido que parece legítimo debido a su nombre. Al abrirlo, el usuario activa sin saberlo un archivo compilado en Autoit que procede a descargar otros dos ficheros en la ruta temporal del sistema. Estos archivos decodifican una shellcode necesaria para completar la inyección en el proceso svchost, donde reside la versión final del infostealer Formbook.
La propagación de estas campañas demuestra una preferencia por objetivos empresariales específicos. Los nombres utilizados en los archivos adjuntos sugieren que los actores detrás de estos ataques buscan principalmente personas vinculadas a departamentos de Recursos Humanos o Contabilidad, quienes están acostumbrados a recibir este tipo de comunicaciones diariamente. Esta estrategia aumenta considerablemente las probabilidades de éxito de los ataques.
Finalmente, el estudio de estas tácticas pone de manifiesto la importancia de estar informados sobre las técnicas empleadas por los ciberdelincuentes. Las herramientas como Autoit, aunque útiles en contextos legítimos, pueden ser abusadas para facilitar intrusiones complejas. Conocer estas dinámicas es crucial para implementar medidas efectivas de defensa y responder adecuadamente ante incidentes cibernéticos en una región cada vez más vulnerable a este tipo de amenazas.