Malware Formbook: Estrategias de evasión y robo de datos en 2026

El panorama de la ciberseguridad en abril de 2026 ha sido sacudido por una sofisticación técnica sin precedentes. Una reciente investigación de inteligencia de amenazas, publicada el 20 de abril, ha puesto al descubierto una campaña de phishing de “doble vía” extremadamente agresiva. Esta operación está diseñada específicamente para desplegar el Malware Formbook (también conocido en sus versiones evolucionadas como XLoader) en infraestructuras corporativas críticas de Europa y Sudamérica. Lo que distingue a este ataque no es solo su persistencia, sino el uso magistral de técnicas de evasión que dejan obsoletas a muchas soluciones tradicionales de detección y respuesta en puntos finales (EDR).

A medida que las organizaciones en países como España, Grecia y Eslovenia, junto con varios sectores en América Latina, se encuentran en medio de ciclos comerciales clave, los actores de amenazas han refinado sus tácticas. El Malware Formbook ha regresado con una arquitectura modular que combina el “DLL Sideloading” con una ofuscación de JavaScript altamente compleja, permitiéndole operar en el espacio de memoria de procesos legítimos y evadir el análisis estático y dinámico inicial.

La resurrección técnica del Malware Formbook en 2026

Desde su aparición inicial en 2016 como un “malware-as-a-service” (MaaS), Formbook ha demostrado una capacidad de adaptación asombrosa. Sin embargo, la variante detectada en esta última semana de abril de 2026 muestra un salto cualitativo en su cadena de infección. El objetivo principal sigue siendo el robo de información —credenciales, capturas de pantalla y datos de navegación—, pero los métodos para lograr el acceso inicial y la persistencia han sido rediseñados para burlar los perímetros de seguridad más modernos.

Los investigadores de seguridad de WatchGuard y otras firmas líderes han reportado un incremento del 229% en la actividad de este infostealer. Esta explosión de actividad coincide con una expansión masiva de su infraestructura de comando y control (C2), con más de 55 nuevos servidores identificados en un solo día. La campaña se divide en dos vertientes principales, cada una aprovechando una debilidad sistémica diferente en la forma en que los sistemas operativos modernos confían en los procesos de software.

Variante 1: DLL Sideloading y el secuestro de la confianza

El primer track de esta campaña utiliza una técnica conocida como DLL Sideloading. Este método explota la manera en que Windows busca y carga bibliotecas de enlaces dinámicos (DLL). El ataque comienza con un correo electrónico de phishing que contiene un archivo RAR. Dentro de este archivo, las víctimas encuentran una mezcla de archivos aparentemente inofensivos:

• Un archivo ejecutable de Windows (EXE) legítimo y firmado digitalmente.
• Tres archivos DLL, de los cuales al menos uno es malicioso.

Al ejecutar el archivo EXE legítimo (que podría ser un componente de software de confianza como una herramienta de diagnóstico o un reproductor multimedia), el sistema operativo, siguiendo su orden de búsqueda predeterminado, carga la DLL maliciosa que se encuentra en la misma carpeta antes de buscar la versión original en los directorios del sistema. Esto permite que el Malware Formbook se ejecute dentro del espacio de memoria de un proceso en el que el EDR confía plenamente. Al no iniciar un proceso nuevo y sospechoso, el malware logra una “invisibilidad operativa” casi total durante las primeras etapas de la infección.

Ofuscación de JavaScript: El arte de la saturación de archivos

La segunda variante de la campaña es igualmente ingeniosa. Se basa en el envío de señuelos temáticos de negocios, como solicitudes de propuestas (RFPs) o facturas urgentes. El vector de ataque aquí es un archivo JavaScript (.js) fuertemente ofuscado, a menudo contenido dentro de archivos ZIP o RAR para evitar los filtros de correo electrónico que bloquean scripts directos.

La táctica de los archivos “bloated” o de gran tamaño

Una característica técnica notable observada en las muestras de abril de 2026 es el uso de archivos JavaScript de gran tamaño, que superan los 10 MB. Esta técnica, conocida como bloating, tiene un propósito estratégico: muchos escáneres automáticos de seguridad y sandboxes están configurados para omitir archivos de gran tamaño con el fin de optimizar el rendimiento. Al incluir código legítimo de librerías de código abierto (como el proyecto AsmDB) junto con el código malicioso, los atacantes logran que el archivo parezca un componente de desarrollo legítimo mientras saturan las capacidades de análisis heurístico.

Una vez que el usuario ejecuta el script, este utiliza componentes nativos de Windows para avanzar en la cadena de infección:

1. ActiveXObject y Microsoft.XMLDOM: Para manipular datos y estructuras de archivos en el sistema.
2. ADODB.Stream: Para escribir el payload malicioso en el disco bajo nombres de archivos falsos.
3. Mascarada de imágenes: El script descarga archivos con extensión .png (como Brio.png u Orio.png), que en realidad son payloads cifrados con AES.

Este uso de archivos de imagen falsos permite que el tráfico de red parezca una simple descarga de recursos web comunes, evadiendo las alertas de transferencia de binarios sospechosos.

Abuso de MSBuild y técnicas de “Living-off-the-Land”

Una vez que los componentes iniciales están en el sistema, el Malware Formbook no se detiene. Para ejecutar su payload final de forma sigilosa, hace uso de MSBuild.exe, una herramienta legítima de Microsoft utilizada para compilar aplicaciones .NET. Esta es una táctica clásica de “Living-off-the-Land” (LotL), donde se abusan de binarios legítimos (LOLBins) para realizar actividades maliciosas.

El malware inyecta una DLL de .NET directamente en el proceso de MSBuild. Debido a que MSBuild es una herramienta esencial para desarrolladores y administradores de sistemas, rara vez se bloquea o se monitoriza estrictamente en entornos corporativos. Desde esta posición privilegiada, Formbook puede realizar sus funciones de robo de datos sin levantar sospechas en el administrador de tareas o en las herramientas de monitoreo básicas.

Evasión avanzada: Parches en ETW y AMSI

Para garantizar que ni siquiera los EDR más avanzados detecten su actividad en memoria, el Malware Formbook implementa parches dinámicos en funciones críticas de seguridad de Windows. Específicamente, busca y modifica en memoria las funciones:

• EtwEventWrite(): Desactiva el Seguimiento de Eventos para Windows (ETW), impidiendo que el sistema registre actividades sospechosas de bajo nivel.
• AmsiScanBuffer(): Desactiva la Interfaz de Escaneo de Antimalware (AMSI), lo que permite que los scripts maliciosos se ejecuten sin ser inspeccionados por el motor antivirus en tiempo real.

Además, esta variante utiliza la técnica denominada “Heaven’s Gate”, que permite a un proceso de 32 bits ejecutar código de 64 bits. Al cambiar los segmentos de código (CS register), el malware confunde a muchos depuradores y herramientas de análisis que no están preparados para manejar transiciones de modo de procesador en tiempo de ejecución.

Objetivos regionales: España y el mercado latinoamericano

La inteligencia de amenazas de abril de 2026 subraya un enfoque regional meticuloso. Los señuelos de phishing están perfectamente redactados en español, adaptados a las jerigüenzas comerciales de España y varios países sudamericanos. En España, los ataques han coincidido con periodos de declaración de impuestos y cierres trimestrales, utilizando facturas de servicios públicos y notificaciones de logística como gancho.

En Sudamérica, la campaña ha mostrado una predilección por empresas de manufactura y servicios financieros. El uso de extensiones de archivo poco comunes (como .26618 o .95677465) sugiere que los atacantes están rotando constantemente sus herramientas para evitar que las firmas de seguridad basadas en patrones detecten el malware antes de que logre su objetivo.

Capacidades de exfiltración y daño potencial

El Malware Formbook es un “infostealer” de espectro completo. Una vez establecido, sus capacidades incluyen:

• Robo de credenciales: Extracción de nombres de usuario y contraseñas almacenados en navegadores (Chrome, Firefox, Edge) y clientes de correo electrónico (Outlook, Thunderbird).
• Keylogging: Registro de cada pulsación de tecla para capturar contraseñas de un solo uso o información confidencial escrita en documentos.
• Capturas de pantalla: Monitorización visual de la actividad del usuario para robar información que no se introduce mediante texto.
• Monitoreo de formularios HTTP: Captura de datos en tiempo real mientras el usuario los introduce en sitios web, incluso antes de que se cifren mediante HTTPS en el tránsito.

Recomendaciones estratégicas para la defensa organizacional

Ante la sofisticación del Malware Formbook en 2026, las defensas basadas puramente en firmas son insuficientes. Los CISO y los equipos de seguridad deben adoptar un enfoque de defensa en profundidad:

1. Endurecimiento de procesos: Restringir la ejecución de LOLBins como MSBuild.exe, PowerShell.exe y Script Hosts (wscript.exe, cscript.exe) mediante políticas de control de aplicaciones (AppLocker o Windows Defender Application Control).
2. Análisis de comportamiento: Configurar los sistemas EDR para alertar sobre cadenas de procesos inusuales, como un script que lanza un compilador o un ejecutable legítimo que carga DLLs desde directorios temporales de usuario.
3. Inspección de archivos comprimidos: Implementar soluciones de seguridad de correo electrónico que puedan descomprimir y analizar archivos de gran tamaño, buscando indicadores de ofuscación de JavaScript.
4. Monitoreo de red: Bloquear el acceso a servidores C2 conocidos y monitorear el tráfico saliente inusual, especialmente hacia dominios recién registrados o IPs de alojamiento “bulletproof”.
5. Educación del usuario: Capacitar al personal para identificar correos de “facturas” o “RFPs” con archivos adjuntos extraños, haciendo especial énfasis en no habilitar macros ni ejecutar scripts contenidos en archivos comprimidos.

En conclusión, el Malware Formbook representa una amenaza persistente y en constante evolución que utiliza la propia arquitectura de confianza de Windows en su contra. La campaña de abril de 2026 es un recordatorio crítico de que la ciberseguridad no es un estado estático, sino una carrera armamentista tecnológica donde el sigilo y la evasión son las armas principales del adversario.