El infostealer Agent Tesla vuelve con una campaña dirigida a empresas españolas

  • Endpoint

Los correos electrónicos contienen un fichero PDF con una supuesta orden de compra, que redirige a las víctimas a una web preparada por los delincuentes y que está alojada en el servicio OneDrive, desde donde se descarga el malware. El objetivo es el robo de credenciales.

Recomendados: 

Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento

Nuevas reglas de seguridad para aplicaciones web y API Leer

A pesar de haber cambiado de año, los ciberdelincuentes apenas han modificado las técnicas que tan buenos resultados les han dado el año anterior. Un buen ejemplo de esto son los infostealers o ladrones de información, una categoría de malware en la que podemos englobar a aquellos programas dirigidos a sustraer, por ejemplo, credenciales almacenadas en aplicaciones instaladas. Ese es precisamente el objetivo de la nueva campaña de malware Agent Tesla, que se hace pasar por una orden de compra para robar contraseñas.

La principal novedad de esta campaña es que, aunque, según la telemetría de ESET, la mayoría de detecciones se han producido en España, el mensaje está redactado en inglés y es enviado supuestamente desde una dirección de email turca, puesto que en varias de las últimas campañas analizadas los delincuentes se molestaban en enviar los correos desde direcciones de correos comprometidas de empresas españolas y redactaban los mensajes en castellano. Sin embargo, el hecho de que no pocas empresas tengan relaciones comerciales internacionales con países como Turquía o, simplemente, la curiosidad del empleado que reciba este correo electrónico, hacen que sea perfectamente posible que quien recibe el mensaje pulse sobre la imagen de la supuesta orden de compra, lo que iniciaría el proceso preparado para la descarga del malware.

La técnica de adjuntar una imagen al cuerpo del mensaje haciéndola pasar por un fichero PDF adjunto es un claro indicador de que a los delincuentes les sigue funcionando para conseguir nuevas víctimas. Si el usuario que recibe el correo pulsa sobre la imagen incrustada, será redirigido a una web preparada por los delincuentes y que está alojada en el servicio OneDrive, pero que contiene tres supuestos archivos ofimáticos en diferentes formatos con la supuesta orden de compra.

El hecho de ser redirigido a un servicio de compartición de ficheros legítimo puede hacer que algunos usuarios bajen la guardia y piensen que se encuentran ante ficheros inofensivos. Sin embargo, al pulsar sobre cualquiera de las opciones disponibles para la descarga de los archivos siempre se muestra la misma opción para abrir o descargar un archivo comprimido en formato TGZ., y que contiene un fichero ejecutable en formato EXE. Si el fichero termina ejecutándose en el sistema, este realizará sus acciones maliciosas, centradas en detectar y obtener credenciales almacenadas en algunas de las aplicaciones instaladas en el sistema, como, por ejemplo, los navegadores de Internet.

Las credenciales obtenidas de esta forma son posteriormente utilizadas en ataques más dirigidos que pueden terminar con el robo y cifrado de información confidencial, algo a lo que no pocas empresas han tenido que hacer frente en los últimos meses.

TAGS