Detectadas dos nuevas campañas de Agent Tesla dirigidas a usuarios españoles

  • Endpoint

Investigadores de ESET informan de un correo suplantando a la empresa de logística GLS para propagar una nueva variante de este conocido infostealer. La otra campaña simula ser un justificante de pago emitido por una empresa que suele ser un cliente o proveedor de la empresa.

Recomendados: 

Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar

Anatomía del ataque a una cuenta privilegiada Leer 

A la hora de propagar sus amenazas, es frecuente observar cómo los delincuentes reutilizan técnicas que les han funcionado bien con anterioridad, algo especialmente cierto cuando se trata de amenazas que se propagan por mensajes de texto o email. Es el caso de los atacantes que están detrás de Agent Tesla, el malware especializado en el robo de información, los cuales han lanzado dos nuevas campañas que podrían representar una amenaza para los usuarios españoles.

Con frecuencia los delincuentes reutilizan una y otra vez plantillas de correo de Notificaciones de Entrega para tratar de engañar a los usuarios y conseguir que pulsen sobre los enlaces incluidos o que descarguen y ejecuten los ficheros adjuntos. ESET ha detectado una nueva campaña de propagación de Agent Tesla consistente en un correo suplantando a la empresa de logística GLS.

El cuerpo del mensaje es exactamente igual a uno que ESET ya detectó a finales de junio de 2020. Los delincuentes han mantenido exactamente el mismo cuerpo del mensaje, tan solo han cambiado la fecha y la dirección a la que apunta el enlace incluido. También es destacable que, en ambos correos aparezca como remitente una dirección de correo con el dominio de Rumanía. Revisando las direcciones donde se han encontrado ficheros similares, ESET ha observado cómo los delincuentes siguen alojándolos en servicios en la nube como OneDrive de Microsoft, además de observar otros nombres para el fichero malicioso, lo que podría indicar que se estén utilizando otras campañas con otros asuntos para propagar esta amenaza.

Al analizar el comportamiento del malware contenido dentro del archivo “Detalles de envío GLS.exe”, se observa que, como viene siendo habitual en Agent Tesla y otras herramientas de control remoto (RATs), su finalidad es el robo de credenciales almacenadas en aplicaciones como clientes de correo, navegadores de Internet o clientes FTP, entre otros. Las soluciones de seguridad de ESET detectan esta amenaza como una variante del troyano MSIL/Kryptik.ACAN.

La otra campaña de propagación de Agent Tesla simula ser un justificante de pago emitido por una empresa que, muchas veces, suele ser un cliente o proveedor de la empresa que recibe estos emails, dirigidos normalmente a los departamentos de administración.

Se trata de unos mensajes que suelen ser bastante escuetos y solamente indican al usuario que lo recibe que se adjunta un justificante de pago y se muestra lo que parece ser una imagen con dicho justificante. Sin embargo, esta imagen contiene un enlace que redirige al usuario a la descarga de un archivo comprimido de nombre “just11f.tgz” que, a su vez, contiene el archivo “just11f.exe”, responsable de la infección.

Al analizar el comportamiento del archivo malicioso, los expertos de ESET han observado que este, de nuevo, vuelve a estar centrado en el robo de credenciales almacenadas en aplicaciones del sistema. Las soluciones de seguridad de ESET detectan esta amenaza como una variante del troyano MSIL/Kryptik.ACBD.

En cuanto al impacto de estas campañas, todavía no se han producido muchas detecciones, pero estas están centradas en España. Es posible que en el caso de que estas campañas sigan activas, el número de detecciones de Agent Tesla aumente sustancialmente en nuestro país, por lo que tal y como advierten desde la compañía, conviene estar alerta.

“Este tipo de campañas suelen ser periódicas, por lo que es importante aprender a reconocerlas basándonos en los casos observados hasta ahora”, explica Josep Albors, director de Investigación y concienciación en ESET España. “Parece que a algunos delincuentes no les gusta demasiado esforzarse y se dedican a reutilizar técnicas y plantillas ya observadas previamente y con las que han obtenido cierto éxito, por lo que si ya conocemos sus tácticas y contamos con una solución de seguridad que detecte y elimine estas amenazas, es difícil que caigamos en la trampa”.

TAGS Malware