En el panorama actual de la ciberseguridad, las amenazas evolucionan constantemente, y los ciberdelincuentes buscan nuevas formas de distribuir malware de manera sigilosa y eficiente. Recientemente, investigadores han identificado una campaña maliciosa en Latinoamérica que utiliza AutoIt, un lenguaje de scripting legítimo, para distribuir el infostealer Formbook. Este malware está diseñado para robar credenciales, información sensible y datos almacenados en dispositivos infectados.
¿Cómo Funciona la Amenaza?
AutoIt es una herramienta utilizada por desarrolladores para automatizar tareas, pero los atacantes también pueden aprovecharla para ejecutar scripts maliciosos. En esta campaña, los ciberdelincuentes han modificado AutoIt para descargar y ejecutar Formbook en los sistemas de sus víctimas. Como parte del proceso de infección, un archivo compilado de AutoIt se ejecuta y deposita varios archivos en la carpeta temporal del sistema, iniciando así el proceso de infección.
Win32/Formbook.AA, una de las variantes de este malware, se caracteriza por sus avanzadas capacidades de robo de información. Una vez instalado, Formbook puede:
- Recopilar información de navegadores web, servicios de correo electrónico y redes sociales.
- Registrar pulsaciones de teclas para capturar contraseñas, robar información sensible y obtener credenciales de acceso a sistemas.
- Realizar capturas de pantalla de la actividad del usuario.
- Descargar y ejecutar archivos maliciosos adicionales.
- Manipular datos enviados a formularios web para capturar credenciales antes de que sean encriptadas.
Gracias a estas capacidades, Formbook se convierte en una herramienta eficaz para el robo de datos, representando una grave amenaza para empresas y usuarios.
Métodos de Distribución
El malware es propagado mediante diversas tácticas diseñadas para engañar a los usuarios y comprometer sus sistemas. Algunas de las técnicas observadas incluyen:
- Descargas disfrazadas de software legítimo en foros y páginas web fraudulentas.
- Explotación de vulnerabilidades en software desactualizado.
- Uso de publicidad maliciosa (malvertising) que redirige a los usuarios a sitios con descargas automáticas del malware.
- Correos electrónicos de phishing con archivos adjuntos maliciosos o enlaces a sitios comprometidos, dirigidos a empleados de Recursos Humanos, Finanzas o Contabilidad, quienes suelen recibir este tipo de documentos.
Países Afectados
Las campañas que distribuyen Formbook a través de AutoIt han tenido un impacto significativo en varios países de Latinoamérica. Aunque el malware se ha identificado principalmente en México, Colombia y Argentina, su propagación ha sido rápida, y se han reportado incidentes en otras naciones de la región.
Recomendaciones de Seguridad
- Mantener el software actualizado: Asegurar que el sistema operativo, navegadores y aplicaciones estén siempre actualizados con los últimos parches de seguridad para mitigar vulnerabilidades explotadas por los atacantes.
- Evitar descargar archivos sospechosos: No abrir archivos adjuntos en correos electrónicos de remitentes desconocidos ni descargar software de fuentes no oficiales.
- Utilizar soluciones de seguridad avanzadas: Implementar software antivirus y herramientas de detección de amenazas que puedan identificar y bloquear la ejecución de scripts maliciosos.
- Aplicar restricciones en AutoIt: Limitar el uso de AutoIt en entornos corporativos y monitorear su ejecución para evitar usos indebidos.
- Capacitar a los empleados: Sensibilizar a los trabajadores sobre las técnicas de ingeniería social utilizadas para distribuir malware, como correos de phishing y descargas engañosas.
- Utilizar autenticación multifactor (MFA): Reforzar la seguridad de accesos a cuentas corporativas y personales mediante MFA para evitar que credenciales comprometidas sean utilizadas por atacantes.
