Avast, líder mundial en seguridad y privacidad digital, está rastreando y alertando sobre una campaña de GuLoader, un descargador avanzado que utiliza shellcode envuelto en un ejecutable VB6 que cambia en cada campaña para evadir las detecciones de los antivirus (AV), y que propaga malware FormBook a usuarios de toda Europa. Desde mediados de septiembre, Avast ha protegido de la amenaza a más de 10.000 usuarios españoles.
GuLoader propaga malware FormBook
Es habitual que los ciberdelincuentes ataquen por oleadas, en lugar de enviar todos sus correos electrónicos a la vez, con el objetivo de minimizar las posibilidades de ser detectados y bloqueados. Avast observó una primera oleada el 13 de septiembre de 2022, una segunda más pequeña el 19 de septiembre de 2022 y otra final el 23 de septiembre de 2022.
Formbook es un malware del tipo infostealer
Formbook es un malware del tipo infostealer que recolecta y roba información sensible del dispositivo de la víctima, como credenciales de acceso, capturas de pantalla, y otros tipos de información. Estos datos se acaban enviando a un servidor controlado por los cibercriminales. Está en activo desde el 2016, aunque ha ganado reconocimiento en los últimos años, y funciona bajo el modelo de Malware-as-a-Service (MaaS), por lo que suele ser comercializado en foros clandestinos.
Este malware se propaga a través de correos electrónicos de phishing localizados, cuyas direcciones pertenecen a personas y empresas. Los investigadores de Avast consideran que las direcciones de correo electrónico son falsas; o bien que las cuentas de correo electrónico fueron hackeadas.
Los correos electrónicos contienen un adjunto, concretamente un archivo ISO que dentro contiene otro ejecutable. El archivo ejecutable es el malware GuLoader en forma de instalador NSIS (Nullsoft Scriptable Install System), que, al ejecutarse, descarga e infecta el ordenador con FormBook, un ladrón de información.
Se adjunta un ejemplo de los correos electrónicos de phishing, a continuación.
Capacidades de FormBook
Este tipo de malware tiene capacidad para realizar las siguientes acciones con una finalidad fraudulenta:
- Grabar pulsaciones de teclas
- Robar el contenido de los portapapeles
- Observar y robar datos de sesiones HTTP no cifradas
- Ejecutar archivos
- Recoger contraseñas de las cookies de los usuarios locales
- Desactivar el Administrador de Tareas
- Realizar capturas de pantalla
- Reiniciar el sistema
Curiosidades técnicas
Además, dispone de una serie de cualidades técnicas a destacar que lo convierten en un malware de alto peligro para los usuarios:
- Shellcode está cargado y ejecutado usando el instalador NSIS (Nullsoft Scriptable Install System).
- GuLoader utiliza PowerShell para descifrar las cadenas del script NSIS.
- El instalador contiene imágenes y textos no relacionados y un archivo malicioso con un shellcode en su interior. Sólo se ha detectado el shellcode ubicado en el offset 8778 (0x224a) de este archivo.
¿Cómo evitar infectarse por el malware FormBook?
Jan Rubin, investigador de malware de Avast, recomienda los siguientes consejos para protegerse de los correos electrónicos maliciosos:
- Prestar atención antes de abrir archivos adjuntos
Es imprescindible mantenerse alerta al abrir correos electrónicos. La suplantación de identidad permite a los ciberdelincuentes enviar mensajes de correo electrónico maliciosos que parecen proceder de alguien o de una empresa conocida. Si no esperas un correo electrónico de esa persona o empresa, piénsatelo dos veces antes de actuar.
Los correos electrónicos que circulan en esta campaña animan a los usuarios a abrir los archivos adjuntos, alegando que incluyen un formulario o un documento con más detalles.
Por este motivo, en caso de duda, se recomienda contactar con la persona o empresa de la que procede el correo electrónico, mediante otros medios de comunicación para comprobar si ha enviado o no el correo electrónico, alertándole del posible problema.
- Instalación de un antivirus
El software antivirus actúa como una red de seguridad, protegiendo incluso a los usuarios más cuidadosos. Los correos electrónicos falsos pueden ser difíciles de detectar, ya que parecen proceder de una fuente conocida y de confianza. Los antivirus, como Avast Free Antivirus, detectan y bloquean campañas como esta.
En caso de que haya algún problema con el email, hay que ponerse en contacto con el proveedor de correo electrónico para que pueda recuperar la dirección de correo electrónico y a restablecer la contraseña.
Cómo proteger las cuentas de correo electrónico de los hackers
- Usa contraseñas seguras
Los usuarios pueden utilizar frases de contraseña combinadas de cinco o más palabras no relacionadas; o contraseñas largas y aleatorias que contengan todo tipo de caracteres. Los gestores de contraseñas pueden ayudar a crear y almacenar contraseñas seguras para varias cuentas. De esta forma, se garantiza la seguridad en las claves para evitar una intrusión en el correo electrónico.
- Auntenticación de dos factores
Esta debe activarse siempre que sea posible para proteger las cuentas. Los códigos de autenticación de dos factores deberían enviarse idealmente a una aplicación, no como un SMS, y pueden servir como señal de advertencia de que alguien está intentando acceder a tu cuenta.
