Nuevo intento de robo de credenciales a empresas en España vía email

  • Endpoint

En esta campaña de correos maliciosos, que se ha centrado principalmente en España, estaríamos de nuevo ante GuLoader, un descargador que es usado por numerosos delincuentes para descargar malware especializado, en este caso una variante de Agent Tesla.

Recomendados: 

Leer IT User (Marzo 2022) para PC y Mac Leer

Nuevas reglas de seguridad para aplicaciones web y API Leer

Los responsables de los envíos de emails maliciosos saben a qué buzones de correo dirigirse, ya que departamentos como el de administración pueden recibir decenas de correos legítimos a lo largo del día. Además, desde hace ya algún tiempo, este tipo de mensajes suelen enviarse desde cuentas de correo legítimas, pertenecientes a otras empresas que han sido previamente comprometidas por los atacantes. De esta forma se evitan que los filtros antispam bloqueen estas direcciones ya que se trata de envíos realizados desde una cuenta corporativa real y que, normalmente, suelen tener buena reputación.

Es el caso de una nueva campaña de correos masivos detectada por ESET, en los que los delincuentes son bastante escuetos en lo que respecta el asunto y el cuerpo del mensaje, yendo directos al grano e indicando al destinatario de este correo la necesidad de revisar el archivo adjunto para proceder a un supuesto pago. Se trata de un fichero ejecutable que trata de conectarse a Google Drive para descargar un nuevo componente.

En este caso, nos encontraríamos con un primer componente que sería el fichero ejecutable dentro del archivo comprimido enviado en el correo, responsable de realizar la primera fase del ataque y descargar el malware propiamente dicho. En el análisis realizado parece que estaríamos de nuevo ante GuLoader, un downloader o descargador que es usado por numerosos delincuentes para descargar malware especializado en el robo de información.

De acuerdo con ESET, el fichero cifrado contendría una variante de Agent Tesla en su interior, una amenaza especializada en robar credenciales almacenadas en varias aplicaciones de uso común en empresas como navegadores de Internet, clientes de correo, clientes VPN o FPTs. Una vez los delincuentes han conseguido estas credenciales son posteriormente usadas para acceder remotamente a la red corporativa, robar información confidencial, cifrarla o usar sus cuentas de correo para seguir propagándose en otras empresas.

En este caso, la propagación de esta nueva campaña de correos maliciosos no ha sido muy elevada, aunque se ha centrado principalmente en España.

TAGS Malware, Email