Anatomía de un robo de datos: Análisis técnico del robo de información «Formbook»

Redazione RHC : 27 octubre 2025 07:03

En el panorama de las ciberamenazas, pocos programas de malware son tan persistentes y extendidos como Formbook . Lo que comenzó como un simple keylogger y capturador de formularios se ha convertido en un potente ladrón de información comercializado bajo el modelo de Malware como Servicio (MaaS) , lo que lo hace accesible a una amplia gama de ciberdelincuentes. Su capacidad para extraer credenciales de navegadores, clientes de correo electrónico y otro software lo convierte en una herramienta predilecta para obtener acceso inicial a las redes corporativas.

En este artículo analizaremos una muestra de un dropper multietapa diseñado para distribuir el infostealer Formbook y, con base en la evidencia recolectada, ilustraremos las contramedidas propuestas por ELMI para prevenir, detectar y responder a este tipo de amenazas.

CASCOS opera en el sector TI como Integrador de Sistemas desde hace cuarenta años, ofreciendo consultoría profesional y apoyando a empresas privadas y públicas en el desarrollo de proyectos innovadores .
La compañía está actualmente fuertemente enfocada en la Transformación Digital, con especial referencia a las áreas tecnológicas relacionadas con la digitalización de procesos, ciberseguridad, gestión de activos, inteligencia artificial generativa y blockchain.

Infostealer en acción: Análisis técnico de Formbook

Como se ha observado en varias campañas recientes documentadas por la Agencia Nacional de Ciberseguridad ( ACN ), la distribución de Formbook se produce principalmente a través de malspam (spam de malware o spam malicioso) : correos electrónicos maliciosos que simulan ser legítimos (facturas, documentos de envío, presupuestos o comunicaciones empresariales falsas). El mensaje suele contener un archivo adjunto (archivos comprimidos .zip/.rar o archivos de Office con macros desactivadas) o un enlace que, al hacer clic, descarga un archivo JavaScript ofuscado. En la muestra analizada, este archivo es el primer dropper que inicia la cadena de infección.

El objetivo de la fase inicial es engañar al usuario para que ejecute manualmente el archivo adjunto, recurriendo así a la ingeniería social en lugar de a vulnerabilidades de software. Este enfoque, combinado con técnicas de ofuscación de código y el uso de servicios legítimos en la nube para alojar cargas útiles posteriores, hace que la campaña sea particularmente insidiosa y difícil de bloquear únicamente con controles perimetrales.

Por lo tanto, el análisis comenzó con una muestra de JavaScript, revelando una compleja cadena de infección que utiliza PowerShell como etapa intermedia y culmina en la ejecución sin archivos de la carga útil final. El actor de amenazas implementó múltiples técnicas de ofuscación y evasión y utilizó un servicio legítimo (Google Drive) para alojar la carga útil, lo que dificultó la detección en red.

Este análisis documenta cada fase en detalle, mapeando las tácticas, técnicas y procedimientos (TTP) observados al marco MITRE ATT&CK y proporcionando los indicadores de compromiso (IoC) necesarios para la detección y mitigación.

El objetivo no es sólo diseccionar el malware, sino entender cómo un solo archivo encaja en el vasto ecosistema del cibercrimen, alimentando el mercado negro de datos y cómo puede afectar significativamente el funcionamiento y la confidencialidad de los sistemas.

Nombre del archivo 8f7b48c9b0cb0702de08f98e8e4fb2cd47103b219beff7815dc8e742039c12cb.js

Tipo de archivo .js

SHA256 8f7b48c9b0cb0702de08f98e8e4fb2cd47103b219beff7815dc8e742039c12cb

Tamaño 300 KB

Entropía 4976

VT https://www.virustotal.com

Detalle de PEStudio

Cadena de infección de Formbook: del phishing a la ejecución sin archivos
El ataque se desarrolla a través de una cadena de eventos bien definida, diseñada para aumentar el sigilo y la probabilidad de una infección exitosa.

1. Malspam : un correo electrónico con un enlace o archivo adjunto malicioso.
2. Dropper: Se ejecuta el archivo .js inicial. El script desofusca y ensambla una segunda carga útil, un script de PowerShell, en memoria.
3. Cargador: el script JS escribe la carga útil de PowerShell en el disco en %APPDATA%Plaidtry.ps1 e intenta ejecutarlo.
4. Evasión: El script de PowerShell ejecuta comprobaciones anti-escaneo y antivirus. Si el entorno se considera seguro, continúa.
5. Descargar: El script de PowerShell contacta con una URL en Google Drive para descargar una tercera carga útil, un archivo que contiene datos codificados en Base64 (Pidg.chl).
6. Ejecución sin archivos: se lee el archivo descargado, su contenido Base64 se decodifica en la memoria y revela un inyector ejecutable portátil (PE) .
7. Inyección: el inyector asigna memoria en el propio proceso powershell.exe, escribe en él la carga útil final de Formbook y comienza a ejecutarlo, todo ello sin guardar nunca el ejecutable de Formbook en el disco.

Análisis inicial del cuentagotas (archivo JavaScript)

La muestra inicial se distribuye mediante campañas de spam malicioso, una de las técnicas de distribución más comunes para Formbook, según documenta la ACN. La eficacia de esta primera fase no se basa en vulnerabilidades de software, sino en la ingeniería social, diseñada para engañar e inducir al usuario a tomar medidas decisivas.

23 temas identificados, explotados para difundir campañas maliciosas en Italia, durante la semana del 20 al 26 de septiembre

El atacante crea un correo electrónico que simula ser una comunicación legítima y urgente, como una factura, un documento de envío o un presupuesto falsos. El cuerpo del mensaje suele ser breve e invita a la víctima a descargar un archivo adjunto o a consultar un documento externo mediante un enlace.

Las campañas detectadas relacionadas con el malware Formbook lo distribuyen a través de correos electrónicos con archivos adjuntos comprimidos como ZIP, TAR, 7z.

Una vez descargado y extraído el archivo, nos encontramos con un archivo de texto con la extensión .js. Al analizar el hash del archivo con los principales motores de TI, observamos que está marcado como troyano.

El código fuente está muy ofuscado: tras un paso de formateo inicial, la estructura sintáctica es legible, pero las funciones operativas se ocultan deliberadamente mediante nombres de variables sin sentido y fragmentación del código. Por lo tanto, el análisis se centró en identificar las características que permiten la interacción con el sistema operativo. El descubrimiento clave fue el uso extensivo de ActiveXObject para instanciar objetos COM del sistema:

• WScript.Shell : para ejecutar comandos.

• Scripting.FileSystemObject : para manipulación de archivos.

• WbemScripting.SWbemLocator : para interactuar con WMI.

La lógica principal del script es un bucle de ensamblaje: decodifica y concatena cientos de pequeñas cadenas para construir en memoria la carga útil de la siguiente etapa, un script de PowerShell, que se guardará en la carpeta %APPDATA% con el nombre «Plaidtry».

Análisis del cargador intermedio (script de PowerShell)

El script Plaidtry.ps1 está ofuscado, pero con lógica interna. Contiene una función de desofuscación ( Kuglepenne ) que reconstruye los comandos reales mediante el muestreo de caracteres de las cadenas ofuscadas. Al ejecutar esta función en un entorno seguro (PowerShell ISE), pudimos decodificar los comandos paso a paso.

Ejemplo de desofuscación

El núcleo del script es la lógica de descarga. Configura un agente de usuario de Firefox para enmascarar la solicitud y luego utiliza el método Net.WebClient.DownloadFile para descargar una carga útil de la URL de Google Drive previamente decodificada. El archivo se guarda como %APPDATA%Pidg.chl.

Script de PS desofuscado

Detalle de PROCMON

Detalle de la carpeta

El archivo Pidg.chl no es un ejecutable. Es un archivo de texto que contiene una única cadena larga codificada en Base64. Al usar PowerShell para decodificar esta cadena, descubrimos la etapa final y más peligrosa del ataque: un inyector PE.

Este script, también altamente ofuscado, está diseñado para ejecutar un archivo .exe sin escribirlo en el disco. Sus componentes principales son:

• PE incrustado: Una variable que contiene una cadena Base64 de cientos de kilobytes. Esta es la representación textual del archivo Formbook.exe .
• API de Windows a través de P/Invoke: el script define un bloque de código para crear un «puente» a funciones críticas de kernel32.dll, incluidas VirtualAlloc (para asignar memoria), WriteProcessMemory (para escribir en la memoria) y CreateThread (para ejecutar código en un nuevo hilo).

La lógica del script es la siguiente: decodifica la cadena Base64 grande para reconstruir los bytes del ejecutable Formbook en memoria. A continuación, asigna una nueva región de memoria dentro del proceso powershell.exe en ejecución, copia allí los bytes de Formbook y, finalmente, inicia un nuevo hilo en esa ubicación.

El resultado es que Formbook comienza a ejecutarse como un hilo dentro de un proceso legítimo de PowerShell. En este punto, el ladrón de información iniciaría su actividad maliciosa: registraría las pulsaciones de teclas, robaría las credenciales guardadas en los navegadores, capturaría datos de formularios web y los enviaría a otra infraestructura C2 controlada por el atacante.

Directrices de mitigación y contención contra los ladrones de información

Tras reconstruir la cadena de infección y las técnicas empleadas por Formbook, es posible delinear las principales acciones de mitigación y contención. El objetivo es reducir la superficie de ataque, bloquear la propagación y preservar la evidencia para el triaje/IR.

Mitigación

• Aislar el host sospechoso: quitar la máquina de la red corporativa (segmentación/aislamiento de red), manteniendo la máquina encendida para la adquisición forense; evitar reinicios no planificados que podrían borrar evidencia volátil.
• Conservar la evidencia: Tomar imágenes de memoria e instantáneas del sistema de archivos, recopilar registros de procesos, claves de registro y archivos sospechosos (hashes). Almacenar los artefactos en un área segura con controles de acceso.
• Bloquear IoC a nivel de red y punto final: importar hashes, dominios y URL conocidos a sistemas de prevención (SIEM, NGFW, XDR) y aplicar reglas temporales para limitar el tráfico a hosts sospechosos.

Erradicación

• Investigación forense integral: correlacionar eventos (correos electrónicos, descargas, ejecuciones de scripts, actividad de PowerShell) para establecer el perímetro de compromiso e identificar cualquier movimiento lateral.
• Eliminación controlada: con planes de recuperación, elimine componentes maliciosos y restaure los hosts comprometidos desde copias de seguridad confiables;
• Rotación de credenciales: considere rotar las credenciales y cualquier secreto potencialmente filtrado.

Prevención

• Restringir la ejecución de scripts no autorizados: aplique políticas de grupo (GPO) para deshabilitar o restringir el uso de Windows Script Host (WSH) y la ejecución de scripts en carpetas temporales donde no sean necesarios.
• PowerShell: establezca políticas de ejecución restrictivas, habilite la protección en tiempo de ejecución (AMSI/ConstrainedLanguage) y monitoree módulos y llamadas sospechosos.
• Control de ejecución de aplicaciones: implemente controles de listas blancas de aplicaciones (AppLocker/WDAC) para evitar la ejecución de binarios y scripts no autorizados.
• Monitoreo de comportamiento (XDR/EDR): habilite la recopilación de telemetría extendida (creación de procesos, cadena padre/hijo, conexiones de red, API de memoria) y reglas de alerta sobre patrones sospechosos (por ejemplo, PowerShell con una carga útil base64 muy larga, uso de WScript.Shell, descargas de servicios de alojamiento de archivos con agente/UA sospechoso).
• Segmentación y mínimo privilegio: segmente redes críticas y aplique principios de mínimo privilegio a cuentas y servicios.
• Capacitación y concientización: aumentar las actividades de simulación de phishing y la capacitación de los usuarios para reducir el riesgo de abrir archivos adjuntos/JS maliciosos.

Comunicación y divulgación

• Notificación coordinada: informar los IoC y los detalles técnicos a las autoridades pertinentes (CSIRT corporativo o nacional) y, si corresponde, a los proveedores de alojamiento (por ejemplo, Google para archivos de Drive abusivos) siguiendo procedimientos de divulgación responsables.
• Actualización de defensas: comparta IoC con equipos de inteligencia de amenazas y actualice las reglas SIEM/EDR para permitir la búsqueda y prevención de amenazas a escala.

Conclusiones sobre el análisis del Formbook

El análisis de esta muestra demuestra una clara tendencia hacia cadenas de infección complejas y sin archivos. El actor de amenazas ha invertido un esfuerzo considerable en evadir la detección en todos los niveles: ofuscando los scripts iniciales, utilizando servicios legítimos en la nube para alojar las cargas útiles y, finalmente, inyectando el malware en la memoria.

Esta metodología en capas representa un desafío significativo para las soluciones de seguridad tradicionales basadas en firmas y análisis de archivos. Resalta la necesidad de una monitorización de comportamiento (XDR) avanzada y continua, capaz de detectar actividad anómala en procesos que, de otro modo, serían legítimos, como PowerShell. En definitiva, el análisis nos permitió reconstruir toda la cadena de ataque y extraer indicadores de comportamiento (IoC) y objetivos de prueba (TTP) valiosos para fortalecer las estrategias de defensa contra amenazas similares.

Mapeo MITRE ATT&CK para Formbook

Los TTP observados durante el análisis se mapearon en el marco MITRE ATT&CK.

Indicadores de compromiso (IoC)

• SHA256 (JS):

8f7b48c9b0cb0702de08f98e8e4fb2cd47103b219beff7815dc8e742039c12cb

• SHA256 (Pidg.chl):

C28CF95D3330128C056E6CA3CA23931DC8BBCB4385A1CE37037AF2E45B1734DC

• SHA256 (Plaidtry.ps1):

14345A45F4D51C63DFCDD1A5DC1EDD42BB169109A8903E33C4657C92AF6DF2830

• URL:

https://drive.google.com/uc?export=download&id=1cnJNHiDoF03QTRl3tHyM6lvh4lKo3a

Fuentes: ACN.GOV.IT , CERT-AGID

El apoyo de ELMI en estrategias de prevención y detección

ELMI ofrece un programa integrado de prevención, detección y respuesta ante amenazas , diseñado específicamente para contrarrestar campañas de robo de información basadas en phishing y ejecución sin archivos. La solución combina soluciones integradas, combinando tecnología con un enfoque de consultoría y capacitación.

Soluciones integradas para seguridad 360°

Las medidas técnicas son la primera línea de defensa contra los ladrones de información, lo que requiere una arquitectura de seguridad multicapa que integre herramientas y procesos dedicados. En su Centro de Competencia de Seguridad , ELMI ofrece un conjunto de soluciones integradas que abarcan todo el ciclo de defensa.

• Servicio SOC 24/7 : Sala de control dedicada a monitorear, triaje y gestionar eventos de seguridad 24/7 que puedan impactar la infraestructura de la empresa.
• Detección y Respuesta Extendidas (XDR): Una solución de ciberseguridad que integra y correlaciona datos de endpoints, redes, correo electrónico, servidores y la nube para ofrecer una visión unificada de la seguridad. Permite una detección de amenazas más rápida y una respuesta más eficaz mediante análisis avanzados y automatización de procesos.
• Inteligencia de Amenazas de Dominio: Un servicio avanzado que monitorea y analiza dominios corporativos para identificar vulnerabilidades, amenazas emergentes y cuentas comprometidas. Mediante herramientas de análisis e inteligencia artificial, facilita la mitigación de riesgos y la protección de la integridad del dominio.
• Alerta temprana : boletines informativos sobre amenazas emergentes.
• Evaluación de vulnerabilidades y búsqueda de amenazas : identificación preventiva de vulnerabilidades y búsqueda proactiva de amenazas avanzadas aún no detectadas por los sistemas automáticos.
• Concientización sobre ciberseguridad : actividades de capacitación específicas para mantener una alta conciencia de los riesgos y fortalecer la resiliencia corporativa.

El Centro de Competencia de Seguridad también integra servicios de Network Operation Center (NOC), dedicado a la gestión y monitorización continua de la red, y de Servicios Gestionados , que posibilitan la gestión remota de la infraestructura TI, permitiendo configurar y controlar de forma remota todos los componentes de la empresa.

Las fortalezas del Centro de Competencia en Seguridad de ELMI radican en su enfoque integrado ante incidentes cibernéticos, su disponibilidad operativa 24 horas al día, 7 días a la semana en todo el país y su capacidad para ofrecer servicios personalizados e integrales, garantizando así una protección consistente e integral.

El objetivo no es sólo proporcionar herramientas individuales, sino construir una defensa coordinada junto con el cliente, capaz de anticipar las amenazas, acelerar la detección y garantizar una respuesta inmediata.

Un enfoque consultivo y progresista sobre la ciberseguridad

La eficacia de todo el proceso está garantizada por la experiencia de un equipo multidisciplinario , integrado por figuras especializadas como ingenieros de redes, administradores de sistemas y analistas de seguridad, con un sólido background operativo y una visión de extremo a extremo de la infraestructura TI.

Abordar eficazmente el riesgo cibernético requiere un enfoque estructurado, personalizado y progresivo. El apoyo de ELMI se divide en tres fases clave:

• Auditoría preliminar, para fotografiar la situación de seguridad e identificar las áreas más críticas;
• Evaluación técnica y organizativa, que mide la madurez de las defensas existentes frente a los estándares y marcos internacionales;
• Hoja de ruta personalizada, con un plan de acción a medida que combina refuerzo tecnológico, activación de servicios SOC, formación y definición de políticas.

Gracias a un enfoque consultivo y operativo integrado, ELMI acompaña a sus clientes durante todo el proceso de fortalecimiento de su postura de seguridad , garantizando una reducción progresiva del riesgo y una mayor resiliencia frente a amenazas complejas y en constante evolución.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli