Formbook es un veterano cargador de malware que ha estado activo desde 2016, pero a día de hoy continúa evolucionando y siendo relevante. Los cibercriminales todavía lo utilizan porque es ligero, fácil de distribuir y extremadamente efectivo para robar datos confidenciales.
Según Infosecurity Magazine tanto particulares como empresas de Bosnia, Croacia, Grecia, Eslovenia y España han sido infectados mediante esta amenaza.
También circula por América del Norte, Asia y América Latina.
Por lo tanto, comprender cómo funciona no solo es importante para los profesionales de ciberseguridad.
También lo es para cualquier persona que interactúe con una tienda en línea o inicie sesión en cuentas diariamente.
¿De qué se trata?
Básicamente, se trata de un ladrón de información (infostealer) cuyo objetivo principal es recopilar datos de los dispositivos infectados y enviarlos a los perpetradores
A diferencia del malware más tradicional que puede dañar archivos o interrumpir los sistemas, Formbook se centra en recopilar información valiosa en silencio.
Se comercializa en foros underground como malware como servicio. Esto significa que incluso las personas con conocimientos técnicos limitados pueden comprarlo y usarlo.
Una vez que infecta un sistema, Formbook puede capturar pulsaciones de teclas, robar las contraseñas guardadas, monitorear la actividad del portapapeles e incluso tomar capturas de pantalla.
Se dirige a navegadores web, clientes de correo electrónico y otras aplicaciones donde las personas ingresan datos confidenciales.
Cómo se propaga
Una de las razones por las que Formbook tiene tanto éxito entre la comunidad de villanos es su método de distribución.
Acostumbra a entregarse mediante los sospechosos habituales: correos electrónicos de phishing que parecen completamente legítimos.
Estos correos electrónicos pueden parecer provenir de empresas de confianza, bancos o incluso compañeros de trabajo.
Una táctica común consiste en enviar un archivo adjunto disfrazado de factura, recibo o documento importante.
Cuando la futura víctima descarga y abre el archivo, el malware se instala silenciosamente en segundo plano.
En otros casos, Formbook puede ser entregado a través de enlaces maliciosos o sitios web comprometidos. Visitar un sitio de este tipo puede derivar en una infección automática sin ninguna advertencia obvia.
Las formas de malware distribuidas por este cargador incluyen cosas tan insidiosas e infames como Remcos, XWorm, AsyncRAT y SmokeLoader.
¿Qué sucede después de la infección?
Una vez que el código malicioso entra en un sistema, comienza su trabajo inmediatamente y se conecta a un servidor remoto controlado por el atacante.
Esta conexión le permite enviar los datos robados al perpetrador, recibir más instrucciones y en algunos casos también descargar y ejecutar malware adicional en los sistemas infectados.
El malware se integra en el sistema de una manera que evita la detección. Puede esconderse en procesos legítimos, lo que dificulta que las herramientas antivirus estándar lo identifiquen.
A medida que el usuario continúa con sus actividades normales, el infostealer lo registra todo en silencio.
Cada inicio de sesión, cada contraseña, cada texto copiado al portapapeles se convierte en un objetivo potencial.
No hay ventanas emergentes ni advertencias. El sistema puede continuar funcionando normalmente mientras la información sensible está siendo exfiltrada en tiempo real.
Impacto en la vida real
Este malware no se limita a las grandes corporaciones.
Los usuarios particulares a menudo son atacados porque son vistos como víctimas más fáciles.
Pero las empresas se enfrentan a riesgos aún mayores.
Un solo dispositivo infectado puede conducir a una violación de datos exponiendo la información tanto interna como la de los proveedores y clientes.
Sin duda aparte de posibles perdidas económicas esto puede causar un daño irreversible a la reputación de cualquier compañía.
En muchos casos, las víctimas solo se dan cuenta de lo que ha sucedido después de que el daño ya está hecho.
Para entonces, los datos robados pueden estar pululando por foros y otros canales de internet para finalmente acabar en manos de cualquier indeseable.
Cómo protegerse
La protección se basa en llevar a cabo los procedimientos habituales.
En este sentido no vamos a desvelar los Secretos de la Logia.
Ser cauteloso con los correos electrónicos es una de las formas más efectivas de evitar la infección. Verifica siempre el remitente antes de abrir los archivos adjuntos o hacer clic en los enlaces.
Mantener el sistema actualizado es igualmente importante.
Los parches de seguridad ayudan a cerrar las vulnerabilidades que el malware puede explotar.
Si bien Formbook actualiza con frecuencia su código para evitar las firmas de virus el uso de un software de seguridad puede añadir una capa de protección adicional.
Evita descargar archivos de fuentes no confiables. Incluso si un archivo parece legítimo, es mejor verificarlo tres veces antes de abrirlo.
El uso de contraseñas sólidas y únicas para diferentes cuentas puede reducir el daño si un conjunto de credenciales se ve comprometido.
La autenticación de dos factores no es el Santo Grial, pero habilitarla en tus cuentas en línea le complicará la vida a un delincuente que haya conseguido alguna de tus contraseñas.
Monitorear regularmente tus cuentas para saber si se ha producido cualquier actividad inusual puede ayudarte a detectar problemas antes de que la cosa vaya a peor.
Lógicamente cuanto antes detectes un imponderable, mayores serán tus posibilidades de minimizar el daño.
