Una campaña de phishing utiliza OneNote para distribuir el malware Agent Tesla

  • Endpoint

Gracias a la facilidad de uso y accesibilidad de OneNote, el atacante pudo experimentar con varios métodos de intrusión y mejorar las probabilidades de evadir con éxito los controles de seguridad del correo electrónico. Agent Tesla es un keylogger que recoge y extrae inicios de sesión.

Se ha descubierto una campaña de phishing aprovechando la popular aplicación OneNote de Microsoft para evitar las herramientas de detección y descargar malware en los sistemas de las víctimas. El atacante estaba utilizando el software como una forma de experimentar fácilmente con varios señuelos que propagaban el keylogger del Agente Tesla para robar credenciales, vincularse a una página de phishing, o ambos.

Recomendados: 

Informe IT Trends: 2020, el año de la consolidación digital Leer

Ciberseguridad en 2020, ¿qué podemos esperar? Registro

Tendencias TI 2020, visionando el futuro. Webinar ondemand.

El ataque comenzó con un correo electrónico a las víctimas que contenía un enlace a un documento de OneNote. El autor del correo electrónico enviado a las empresas pretendía hacerse pasar por un director de marketing que enviaba una factura. El enlace a la factura de era en realidad un pequeño enlace [.]cc que finalmente llevó a las víctimas a un documento de OneNote. En el lapso de dos semanas, los investigadores dijeron que los actores de amenazas cambiaron el diseño de esta página de OneNote, alternando entre cuatro plantillas diferentes.

Por ejemplo, en una de las plantillas, la página envía dos URL: una de una página de phishing de credenciales de Office 365 y la otra de descarga de malware. Otras plantillas posteriores se modificaron para que se vincularan a páginas de descargas de malware, en lugar de vincularse a sitios de phishing de credenciales.

Las diversas versiones de documentos de OneNote también contenían diferentes señuelos. En uno se decía a las víctimas que habían recibido con éxito una transferencia de su factura bancaria y les instaba a hacer clic en un enlace para ver los detalles de la transferencia (que en realidad descargaba malware), mientras que otro les decía que su OneDrive no estaba sincronizado con la copia de seguridad de su organización, y les pedía que lo verificasen para solucionar el problema, lo que los redirigía a una página de phishing.

En todos los casos en que se entregó malware, el malware fue un descargador de primera etapa, que intentó descargar un binario cifrado. Este binario, el keylogger Agent Tesla, se descifró y se ejecutó en la memoria. Agent Tesla, utilizado en varias campañas a lo largo de los años, recolecta y extrae inicios de sesión almacenados y pulsaciones de teclas en los sistemas de las víctimas. Curiosamente, el malware vinculado a esta campaña específica falló debido a una personalización inadecuada, lo que indica que el actor de la amenaza puede ser inexperto.