El robo de contraseñas sigue siendo una de las amenazas más recurrentes en España

Recomendados:  Empresas data driven: estrategias de datos para marcar la diferencia Evento  Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento

Cada vez dependemos más de servicios online que requieren que nos identifiquemos con alguna contraseña. Los delincuentes están al tanto de este hecho y, por eso, lanzan continuas campañas, en su mayoría de phishing.

Cuando se trata de robar contraseñas, los delincuentes saben que el phishing dirigido suele funcionar bastante bien, especialmente si se utiliza el nombre de la empresa donde trabaja la víctima. Por ejemplo, un usuario de una empresa puede recibir un correo haciéndose pasar por el equipo de soporte, indicándole que necesitaba cambiar su contraseña de correo electrónico. Obviamente, esto es solo una estratagema que suelen utilizar los delincuentes para que sus víctimas que les proporcionen las contraseñas de sus cuentas de email.

Por simple que parezca este método, es usado frecuentemente por atacantes para obtener credenciales de correos corporativos pertenecientes a empresas de todos los tamaños. Estas cuentas de correo comprometidas pueden ser usadas posteriormente para lanzar otros ataques a empresas desde direcciones legítimas que no suelen estar bloqueadas por los filtros antispam.

En lo que respecta al robo de credenciales, no se puede pasar por alto las amenazas catalogadas como infostealer o ladrones de información, que son utilizadas por los delincuentes desde hace años y cuyo uso se ha intensificado. En este sentido, todas las semanas ESET detecta varios casos de malware que entra dentro de esta categoría, como es el caso de Agent Tesla.

A la hora de dirigirse a las empresas españolas, los delincuentes emplean una técnica que les ha proporcionado buenos resultados en los últimos tiempos, consistente en el envío de un correo electrónico con una supuesta factura, presupuesto o aviso de pago. Además, este tipo de correos suelen venir acompañados de una imagen que simula ser una vista preliminar de un documento PDF en el que vendría la supuesta nota de aviso mencionada en el asunto. Nada más lejos de la realidad, puesto que esta imagen contiene realmente un enlace a un archivo alojado en el servicio MediaFire, usado frecuentemente por los delincuentes para almacenar sus amenazas y evitar que el enlace sea catalogado como malicioso.

Una vez descargado el fichero, se trata del clásico archivo comprimido que, en lugar de un documento PDF, contiene en realidad un fichero ejecutable, que inicia la cadena de infección que desemboca en la ejecución del malware Agent Tesla. La finalidad de esta familia de malware es la de obtener las credenciales que se almacenan en navegadores, clientes de correo, clientes FTP o VPNs, entre otras, y enviárselas a los delincuentes.