Campaña maliciosa ataca empresas de Latinoamérica con el objetivo de robar información confidencial

03/31/2025

A mediados del primer trimestre del año, se evidenció en la telemetría de ESET, compañía líder en detección proactiva de amenazas, un aumento del 20% en las detecciones latinoamericanas de una familia particular de malware: Win32/Injector.Autoit. Por lo menos el 54% de las detecciones se han concentrado en dos países de la región: Argentina y México; completando el top de detecciones, se encuentran Colombia, EcuadorPerú y Chile.

Esta campaña activa se basa en correos maliciosos apuntados a empresas de Latinoamérica con el objetivo de distribuir el infostealer Formbook, un malware que desde 2024 escaló en el ranking de detecciones, posicionándose como la principal amenaza infostealer con un crecimiento del 200% en las detecciones.

Los correos falsos parecen estar diseñados para engañar a personas de áreas como Recursos Humanos o
Finanzas, ya que tienen una estructura que simula el tipo de mensaje que podría enviarse a estas áreas.
Al ejecutar el archivo adjunto, que simula ser un currículum, una cotización o formularios de pedidos,
entre otros, lo que se ejecuta es un archivo compilado en Autoit que dará origen a la infección cuyo
payload final será una variante de Formbook.

Formbook es un tipo de malware que se identifica principalmente como un "stealer", es decir, un
programa diseñado para robar información confidencial de los dispositivos infectados. Este malware
ha sido empleado en diversas campañas de cibercrimen debido a su efectividad y a la facilidad con la
que puede adquirirse en el mercado negro digital. Dentro de las características de esta amenaza se
pueden resaltar:

 Robo de credenciales: Captura credenciales y otros datos sensibles ingresados por la víctima en
formularios web, de ahí su nombre.

 Keylogging: Registra las pulsaciones del teclado para obtener información adicional, como números
de tarjetas de crédito y contraseñas.

 Captura de pantallas: Toma capturas de pantalla del dispositivo infectado en momentos específicos
o cuando se accede a información sensible.

 Exfiltración de datos: Envía la información recolectada a servidores controlados por los atacantes.

“Este tipo de campañas se propagaron en varios países de la región y notamos que los artefactos
maliciosos utilizados varían dependiendo del país donde se detecta. Según los casos, se observa que si
bien el código puede estar un poco más ofuscado, la estructura de las funciones es muy similar. Se
descargan dos archivos en la máquina de la víctima, sobre los cuales se ejecutarán las mismas acciones;primero obtener la shellcode para ser inyectada y ejecutar el payload final, una variante de Formbook.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

 

A continuación, se comparte un detalle de cómo se estructura la campaña, con el análisis del equipo de
especialistas del Laboratorio de Investigación de ESET Latinoamérica:
En el siguiente diagrama se puede ver cómo es el proceso de infección, partiendo desde la recepción de
un correo electrónico que contiene un archivo adjunto comprimido, hasta llegar al payload final que es
una variante del infostealer Formbook.

 

Si bien los correos electrónicos no impersonan entidades o empresas conocidas, por el nombre del
archivo adjunto se puede inferir que apuntan a víctimas dentro de empresas. Algunos nombres
encontrados en los archivos adjuntos de estas campañas son:

 CV Benedita Oliveira.zip

 curriculum vitae.zip

 Facturas de pago 01124,01125,01126.zip

 Solicitud de cotización.zip

 NUEVO FORMULARIO DE PEDIDO 09-3880073016.ZIP

La revisión del tipo de nombres utilizados para propagar este tipo de campañas maliciosas da la idea del
tipo de víctimas que están buscando. Desde ESET, comentan que es posible que estén tratando de
propagar este tipo de archivos entre personas que trabajen en equipos de Recursos Humanos o
Finanzas/Contabilidad, que por sus actividades diarias estén acostumbrados a recibir este tipo de
mensajes.

Al momento de ejecutarse el archivo comprimido, lo que realmente se está ejecutando un archivo
compilado de Autoit que dropea un par de archivos en la ruta temporal del sistema para iniciar con el
proceso de infección.

Del análisis de este archivo, detectado por las soluciones de ESET como una variante de
Win32/Injector.Autoit, se pueden identificar las acciones que realiza la amenaza en el dispositivo de la
víctima. Primero decodifica el archivo spiketop, haciendo algunos reemplazos para obtener una
shellcode que luego va a tratar de inyectar abusando de las características de Autoit. El objetivo final es
ejecutar el malware final dentro la máquina de la víctima. Una vez que llega a una variante del infame
Formbook, que será inyectado en el proceso svchost, podrá realizar las acciones maliciosas sobre el
dispositivo de la víctima.

“El análisis de este tipo de campañas hecha luz sobre la manera en la que funcionan las campañas
maliciosas que, a pesar de propagarse en países diferentes, utilizan técnicas similares. El abuso de
tecnologías como Autoit brinda más posibilidades a los atacantes, por eso es importante conocer estas
técnicas para contar con información suficiente que nos permita responder de manera eficiente ante un
incidente.”, concluye Gutiérrez Amaya de ESET Latinoamérica.

 

Para saber más sobre seguridad informática visite el portal de noticias de ESET:
https://www.welivesecurity.com/es/investigaciones/autoit-distribuye-infostealer-formbook-empresas-
latinoamerica/

Por otro lado, ESET invita a conocer Conexión Segura , su podcast para saber qué está ocurriendo en el
mundo de la seguridad informática. Para escucharlo ingrese a:

Artículos Relacionados