Los investigadores de ESET han detectado una nueva campaña de correos electrónicos fraudulentos que suplantan la identidad del BBVA con el objetivo de comprometer dispositivos y sustraer información confidencial. Esta campaña, que sigue el esquema clásico del phishing bancario, emplea técnicas sobradamente probadas por los delincuentes para conseguir comprometer los sistemas de las víctimas.
El engaño comienza con el envío de correos electrónicos que aparentan proceder del BBVA, una técnica común en ciberataques de este tipo. Aunque los mensajes carecen de firma o imagen corporativa, pueden inducir al usuario a error debido a su tono alarmante o urgente. En el correo, se adjunta un archivo comprimido que, al descomprimirse, contiene un script malicioso con una doble extensión para intentar parecer un documento PDF.
Al ejecutar el archivo adjunto, se activa una secuencia de comandos PowerShell que descarga un segundo fichero, también en formato script. En esta fase, los atacantes despliegan Remcos, un conocido software de acceso remoto (RAT, por sus siglas en inglés) que les permite obtener el control total del sistema infectado. Este tipo de herramientas pueden emplearse para registrar pulsaciones de teclado, capturar credenciales, activar cámaras y micrófonos o realizar capturas de pantalla, facilitando el robo de información confidencial y el espionaje.
El uso de Remcos en este ataque no es casual. Aunque esta herramienta puede adquirirse legalmente para la administración remota de equipos, ha sido utilizada en numerosas campañas delictivas por su versatilidad y múltiples capacidades. Sin embargo, su popularidad también la hace altamente detectable por soluciones de seguridad modernas, lo que reduce su efectividad en sistemas protegidos.
