A menudo los ciberdelincuentes eligen su objetivo entre las pequeñas empresas. Este tipo de compañías no suelen invertir mucho dinero en los sistemas de seguridad, de hecho, ni siquiera suelen tener un especialista informático y, lo que es más importante, es más probable que operen desde tan solo uno o dos ordenadores, lo que facilita la elección de un objetivo con el tipo de información que suelen buscar los ciberdelincuentes. Hace poco nuestras tecnologías detectaron otro ataque dirigido a pequeñas tiendas online. Los atacantes intentaban hacer que los propietarios de la empresa ejecutaran scripts maliciosos en sus ordenadores mediante métodos de ingeniería social. 

Ingeniería social

Lo más interesante de este ataque es el truco mediante el cual los atacantes convencen al empleado de la tienda para que descargue y abra un archivo malicioso. Envían una carta haciéndose pasar por un cliente que ya ha pagado por el pedido pero que no lo ha recibido. El supuesto cliente afirma que ha habido problemas en la oficina de correos y pide a la tienda que rellene un documento con información (sobre el remitente, el número de seguimiento, etc.). ¿Qué empresario decente ignoraría ese correo?

El correo, contiene un enlace a un objeto alojado en Documentos de Google. Si se hace clic en el enlace, comienza la descarga de un archivo, que, como era de esperar, contiene un archivo malicioso; en este caso, uno con extensión .xlsx.

Desde un punto de vista técnico

El ataque es simple pero eficaz. En primer lugar, no se trata de un ataque de correo masivo, el texto del mensaje está dirigido en específico a las tiendas online y se envía a una lista de empresas apropiada. Solo se trata de un par de párrafos y un enlace a un servicio legítimo. Por ello es muy poco probable que los filtros automáticos del correo electrónico intercepten el mensaje. No es spam ni phishing y, lo que es más importante, no incluye archivos maliciosos adjuntos.

El archivo XLSX contiene un script que descarga y ejecuta un archivo ejecutable desde un servicio remoto, el troyano bancario DanaBot, ya conocido en nuestros sistemas desde mayo del 2018. El malware tiene una estructura modular y puede descargar complementos adicionales que lo activan para interceptar el tráfico y robar contraseñas. En estos momentos (según las estadísticas del tercer trimestre del 2019), se encuentra entre las 10 familias de malware bancario más importantes.

Los objetivos de este ataque son las tiendas muy pequeñas, por lo que es muy probable que el ordenador infectado desde el que los empleados leen correos sea el equipo principal de las operaciones bancarias. Es decir, contendrá toda la información que buscan los atacantes.

Cómo mantenerse protegido

En primer lugar, todos los ordenadores necesitan una solución de seguridad de confianza. Los Antivirus también registran los scripts que descargan este troyano con el veredicto heurístico HEUR:Trojan.Script.Generic. Por tanto, los ordenadores que ejecuten soluciones de lgun Antivirus podrán frenar este tipo de ataque incluso antes de que el troyano se descargue en el equipo.

En segundo lugar, actualiza los programas que más utilices de forma oportuna. Las actualizaciones del sistema operativo y los paquetes ofimáticos deberían tener la prioridad. Los atacantes suelen utilizar las vulnerabilidades de este tipo de software para enviar malware.

Para las empresas más pequeñas recomendamos Kaspersky o Sophos. No requiere habilidades especiales de gestión, protege de forma eficaz contra troyanos y también comprueba las versiones de las aplicaciones de terceros.