Formbook: análisis de este popular malware que roba credenciales de navegadores

Qué es Formbook

Formbook es un malware del tipo infostealer que recolecta y roba información sensible de la máquina de una víctima, como credenciales de acceso, capturas de pantalla, y otros tipo de información, y luego envía estos datos a un servidor controlado por los cibercriminales. Está en actividad desde el 2016 y funciona bajo el modelo de Malware-as-a-Service (MaaS), por lo que suele ser comercializado en foros clandestinos. Esto quiere decir que Formbook es un malware utilizado por distintos tipos de cibercriminales, los cuales pueden contar o no con conocimientos para crear sus propios códigos maliciosos.

Bajo este servicio conocido como MaaS los cibercriminales obtienen por un lado acceso al código malicioso para propagarlo sobre las víctimas, y por otro lado tienen acceso a un panel de administración donde pueden monitorear los equipos infectados. Con respecto a la propagación del código malicioso, la misma va por cuenta de los cibercriminales, que lo distribuyen a través de sus propios medios o contratando algún servicio que lo haga por ellos.

Por último, Formbook posee un comportamiento que lo destaca, que es el de formgrabber. Un formgrabber es un tipo de malware que recolecta la información que la víctima inserta dentro de un navegador de Internet, por ejemplo, las credenciales de acceso en una pantalla de Inicio de Sesión, antes de que esa información sea enviada. Esto lo logran interceptando las llamadas a las funciones de la API HTTP que son utilizadas por los navegadores de Internet para enviar la información hacia las páginas que un usuario consume mientras usa el navegador en cuestión.

Cómo se propaga Formbook

Este malware suele propagarse por medio de correos electrónicos de phishing que incluyen un archivo adjunto o una URL que lleve a la víctima a la descarga de este código malicioso.

Estos correos pueden hacer referencia a distintas temáticas, como falsas órdenes de compra, pago de impuestos, transferencias, u otro tipo de ingeniería social que buscan hacer creer a las potenciales víctimas que es un correo legítimo para que abran enlace o el archivo adjunto.

Consejos para estar protegido de esta amenaza

A continuación, enumeramos distintas recomendaciones para tener en cuenta y evitar ser una víctima de esta amenaza:

Revisar que:

La dirección de donde proviene el correo;

  • El nombre de la persona que nos envía el correo.
  • En caso de que no haya ningún indicio de que el correo sea malicioso, revisar que el destinatario sea válido.
  • No abrir ningún correo si hay motivos para sospechar, ya sea del contenido o de la persona que lo envió.
  • No descargar archivos adjuntos si dudamos de su legitimidad.
  • Revisar las extensiones de los archivos adjuntos; por ejemplo, si el nombre de un archivo termina con “.pdf.exe” la última extensión es la que determina el tipo de archivo. En este caso seria “.exe”, que es un ejecutable.
  • Si un correo tiene un enlace que nos lleva a una página que nos pide nuestras credenciales para acceder, no ingresarlas. Se recomienda abrir el navegador e ingresar manualmente a la página oficial.
  • Ser precavidos a la hora de descargar y extraer archivos comprimidos .zip, .rar, etc., más allá de que confiemos en el remitente del correo.
  • Mantener los equipos y aplicaciones actualizados con los últimos parches de seguridad instalados.
  • Mantener actualizadas las soluciones de seguridad instaladas en el dispositivo.
Regresar a Noticias
Contáctanos
Llámanos
PGP/GPG Key
For encrypted email communications, use the following PGP/GPG key:

PGP/GPG key: 0x07269380
Fingerprint: E637 674B B744 19223837 D14E 76C1 0E32 0726 9380
Visítanos
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.
English Español