Repsol y Banco Santander, las últimas víctimas de una oleada de correos fraudulentos con malware

HOSTELVENDING.COM 06/02/2025.- Los correos electrónicos fraudulentos simulan ser facturas o revisiones de presupuesto para engañar a las víctimas. Los mensajes incluyen archivos adjuntos maliciosos que instalan el Snake Keylogger.

Mucho cuidado con los emails, porque la suplantación de empresas reconocidas es algo que los delincuentes llevan realizando desde hace mucho tiempo para que sus campañas sean más convincentes y conseguir así nuevas víctimas. Ya se trate de una empresa de transporte, un comercio que vende sus productos online, una energética o entidad financiera, la utilización de una marca reconocida con fines maliciosos puede hacer que la tasa de éxito aumente considerablemente.

Tanto es así que dos pesos pesados a nivel nacional e internacional, Repsol y Banco Santander, han sufrido amenazas involucrando el Snake Keylogger, un tipo de malware diseñado para robar credenciales de acceso a sistemas y servicios en línea, tal y como informan desde ESET, la compañía especializada en ciberseguridad que ha detectado sendos ataques. En concreto, el ciberataque llega en forma de email, simulando una factura pendiente de pago o una revisión de presupuesto. Seguro que estos tipos de emails te suenan.

Formas de ataque e infección de los sistemas

El mercado de los infostealers está dominado por varias familias como Agent Tesla, Formbook, Lumma Stealer o, como el caso mencionado: Snake Keylogger. No obstante, todas estas amenazas tienen la misma finalidad: robar credenciales de todo tipo almacenadas en los sistemas que infectan. Estas credenciales pueden pertenecer a cuentas de correo, VPNs o incluso a servicios de juegos online o servicios relacionados con criptomonedas. Todas estas credenciales robadas les sirven a los delincuentes para sacar un beneficio económico de forma directa o indirecta.

La forma de actuar de estas amenazas también suele ser similar ya que, una vez el usuario ha caído en la trampa y ha ejecutado el fichero adjunto malicioso se inicia la cadena de infección, que termina descargando el infostealer elegido para una campaña en concreto, recopilando todas las credenciales que pueda del sistema (obteniéndolas, por ejemplo, de los navegadores usados por la víctima) y enviándoselas a los delincuentes.

Una de las técnicas más utilizadas en estas campañas es el envío de correos electrónicos fraudulentos que simulan provenir de empresas reconocidas. Los correos suelen estar bien diseñados, con logotipos y formatos creíbles, pero tienen señales de alerta, como errores en el remitente o enlaces inactivos que solo son imágenes. En muchos casos, los atacantes utilizan direcciones legítimas que han sido previamente comprometidas, permitiendo que sus mensajes no sean bloqueados por filtros de spam durante las primeras horas del ataque.

El archivo adjunto en estos correos no es una factura real, sino un script malicioso que, al ejecutarse, inicia una cadena de infección mediante comandos de PowerShell. Este proceso permite la instalación del Snake Keylogger, que se encarga de recopilar credenciales almacenadas en navegadores y otros sistemas del usuario.

Algunas campañas recientes han empleado la variante VIPKeylogger, que ha sido usada por ciberdelincuentes desde 2020. Este malware permite a los atacantes acceder a cuentas de correo, VPNs, servicios bancarios, plataformas de criptomonedas y otros datos sensibles. Posteriormente, las credenciales robadas pueden ser vendidas en la dark web o utilizadas para nuevos ataques.

El impacto en las víctimas y cómo protegerse

Las empresas, especialmente las pymes, son las más afectadas por estas estafas. Con las credenciales robadas, los delincuentes pueden infiltrarse en redes corporativas, robar información confidencial e incluso usar los correos electrónicos de las víctimas para propagar nuevas campañas maliciosas.

"A pesar de que este tipo de ataques no son nuevos, siguen funcionando porque los ciberdelincuentes mejoran constantemente sus estrategias. La concienciación y la prevención son clave para evitar ser víctima de estas campañas fraudulentas", explica Josep Albors, director de Investigación y Concienciación de ESET España.