El keylogger Agent Tesla regresa atacando a usuarios españoles

  • Endpoint

Mediante el envío masivo de correos suplantando la identidad de empresas legítimas españolas, los delincuentes tratan de que sus víctimas descarguen y abran un documento de Office malicioso, modificado especialmente para explotar la vulnerabilidad CVE-2017-11882.

Agent Tesla es un keylogger que data de 2014, y entre sus funciones destacan la captura de imágenes desde la cámara web, las técnicas de evasión de antivirus o la posibilidad de descargar nuevos componentes y otras aplicaciones maliciosas, entre otras. Los delincuentes siguen haciendo negocio con esta amenaza, tal y como han puesto de manifiesto investigadores de ESET, que se hacen eco de una reciente campaña que empezaba el 21 de octubre y que ha afectado especialmente a usuarios españoles.

También te puede interesar...

Formación y concienciación para mejorar la seguridad

Especial Ciberseguridad Industrial

Especial Cloud

Mediante el envío masivo de correos suplantando la identidad de empresas legítimas españolas, los delincuentes tratan de que sus víctimas descarguen y abran un documento de Office malicioso. Estos documentos, que aparentan ser archivos .DOC, son en realidad archivos RTF modificados especialmente para explotar la vulnerabilidad CVE-2017-11882. Esta vulnerabilidad que ya cuenta con casi dos años de antigüedad sigue usándose de forma muy activa por los delincuentes, ya que la cantidad de sistemas con instalaciones de MS Office vulnerables sigue siendo elevada. Mediante el uso de exploits que se aprovechan de este agujero de seguridad los atacantes consiguen descargar y ejecutar el payload que contiene una versión de Agent Tesla en el sistema.

En lo que se refiere al impacto de esta nueva campaña en España, el aumento de detecciones de documentos maliciosos que se aprovechan de la vulnerabilidad CVE-2017-11882 ha sido especialmente significativo durante esta semana, siendo la amenaza más detectada con diferencia en nuestro país por el laboratorio de amenazas de ESET. Asimismo, el uso de exploits que se aprovechan de esta vulnerabilidad en MS Office se ha encaramado al primer puesto de las detecciones realizadas en España durante los últimos días.

España y Turquía (lugar de origen de Agent Tesla) son los países más afectados por esta reciente campaña. Para los investigadores, el caso de España es especialmente significativo ya que, a pesar de usar mensajes en español (y la suplantación de identidad de empresas españolas) que podrían reutilizarse para intentar afectar a otros países en Latinoamérica, el número de detecciones en esa región no es significativa.

TAGS Malware