Madrid, a 28 de septiembre - Avast, líder mundial en seguridad y privacidad digital, está rastreando y alertando sobre una campaña de GuLoader, un descargador avanzado que utiliza shellcode envuelto en un ejecutable VB6 que cambia en cada campaña para evadir las detecciones de los antivirus (AV), y que propaga malware FormBook a usuarios de toda Europa. Desde mediados de septiembre, Avast ha protegido de la amenaza a más de 10.000 usuarios españoles.
Es habitual que los ciberdelincuentes ataquen por oleadas, en lugar de enviar todos sus correos electrónicos a la vez, con el objetivo de minimizar las posibilidades de ser detectados y bloqueados. Avast observó una primera oleada el 13 de septiembre de 2022, una segunda más pequeña el 19 de septiembre de 2022 y otra final el 23 de septiembre de 2022.
Este malware se propaga a través de correos electrónicos de phishing localizados, cuyas direcciones pertenecen a personas y empresas. Los investigadores de Avast consideran que las direcciones de correo electrónico son falsas; o bien que las cuentas de correo electrónico fueron hackeadas.
Los correos electrónicos contienen un adjunto, concretamente un archivo ISO que dentro contiene otro ejecutable. El archivo ejecutable es el malware GuLoader en forma de instalador NSIS (Nullsoft Scriptable Install System), que, al ejecutarse, descarga e infecta el ordenador con FormBook, un ladrón de información.
Se adjunta un ejemplo de los correos electrónicos de phishing, a continuación.
Este tipo de malware tiene capacidad para realizar las siguientes acciones con una finalidad fraudulenta:
Además, dispone de una serie de cualidades técnicas a destacar que lo convierten en un malware de alto peligro para los usuarios:
Jan Rubin, investigador de malware de Avast, recomienda los siguientes consejos para protegerse de los correos electrónicos maliciosos:
Es imprescindible mantenerse alerta al abrir correos electrónicos. La suplantación de identidad permite a los ciberdelincuentes enviar mensajes de correo electrónico maliciosos que parecen proceder de alguien o de una empresa conocida. Si no esperas un correo electrónico de esa persona o empresa, piénsatelo dos veces antes de actuar.
Los correos electrónicos que circulan en esta campaña animan a los usuarios a abrir los archivos adjuntos, alegando que incluyen un formulario o un documento con más detalles.
Por este motivo, en caso de duda, se recomienda contactar con la persona o empresa de la que procede el correo electrónico, mediante otros medios de comunicación para comprobar si ha enviado o no el correo electrónico, alertándole del posible problema.
El software antivirus actúa como una red de seguridad, protegiendo incluso a los usuarios más cuidadosos. Los correos electrónicos falsos pueden ser difíciles de detectar, ya que parecen proceder de una fuente conocida y de confianza. Los antivirus, como Avast Free Antivirus, detectan y bloquean campañas como esta.
En caso de que haya algún problema con el email, hay que ponerse en contacto con el proveedor de correo electrónico para que pueda recuperar la dirección de correo electrónico y a restablecer la contraseña.
Los usuarios pueden utilizar frases de contraseña combinadas de cinco o más palabras no relacionadas; o contraseñas largas y aleatorias que contengan todo tipo de caracteres. Los gestores de contraseñas pueden ayudar a crear y almacenar contraseñas seguras para varias cuentas. De esta forma, se garantiza la seguridad en las claves para evitar una intrusión en el correo electrónico.
Esta debe activarse siempre que sea posible para proteger las cuentas. Los códigos de autenticación de dos factores deberían enviarse idealmente a una aplicación, no como un SMS, y pueden servir como señal de advertencia de que alguien está intentando acceder a tu cuenta.