Estamos ante una nueva campaña masiva de correo malicioso que se dirige a los empleados de las empresas utilizando archivos adjuntos con el spyware Agent Tesla. Sin embargo, en esta ocasión, los atacantes prestan especial atención a los detalles al crear sus mensajes de correo electrónico, por lo que estos mensajes pueden confundirse por correos electrónicos comerciales legítimos que incluyen documentos adjuntos. Su objetivo final es engañar al destinatario para que abra el archivo adjunto y ejecute el archivo malicioso.
Para empezar, en estos ataques los ciberdelincuentes utilizan empresas reales como tapadera: en sus correos electrónicos incluyen logotipos reales y firmas que parecen legítimas. Utilizan el inglés en su comunicación, pero no lo utilizan correctamente, por lo que fingen ser residentes de países de habla no inglesa (Bulgaria o Malasia, por ejemplo), para levantar menos sospechas.
Los atacantes envían su archivo malicioso en nombre de diferentes empresas cambiando el texto dependiendo de la situación. A veces preguntan a los empleados de la empresa por los precios de ciertos productos que supuestamente figuran en el archivo adjunto y otras veces preguntan si un producto específico está en stock. Probablemente no hayamos visto todas las versiones del texto que utilizan para atraer a sus víctimas, pero la idea es persuadir al destinatario para que compruebe qué productos le interesan a este supuesto cliente. En este caso, los ciberdelincuentes se han esforzado mucho en la fase de preparación, algo que no suele ocurrir en este tipo de campañas de correo masivo. Normalmente, estas tácticas suelen utilizarse solo en ataques dirigidos.
Desde el punto de vista del destinatario, la única señal de alerta que se puede detectar a simple vista es la dirección del remitente. El dominio no suele coincidir con el de la empresa y el nombre del remitente difiere del nombre de la firma, lo que no suele suceder en las direcciones comerciales legítimas. En el ejemplo anterior, el correo se envía desde la dirección “newsletter@”, algo que puede ser normal si se trata de un correo de marketing, pero no es normal en un correo en el que se solicitan precios de productos o presupuestos.
¿Qué es el troyano Agent Tesla?
Agent Tesla, identificado por nuestras soluciones como Trojan-PSW.MSIL.Agensla, es un malware bastante antiguo que roba información confidencial y la envía a los atacantes. En primer lugar, busca las credenciales que se almacenan en diferentes programas: navegadores, clientes de correo electrónico, clientes FTP/SCP, bases de datos, herramientas de administración remota, aplicaciones VPN y aplicaciones de mensajería instantánea. Sin embargo, Agent Tesla también es capaz de robar datos que se encuentran en el portapapeles, grabar las pulsaciones del teclado y hacer capturas de pantalla.
Agent Tesla envía toda la información recopilada a los atacantes por correo electrónico. Sin embargo, algunas modificaciones del malware también pueden transferir datos a través de la app de mensajería Telegram o subirlos a un sitio web o servidor FTP.
En esta publicación de nuestro blog de Securelist encontrarás más información sobre este malware y esta campaña, además de los principales indicadores de compromiso.
Cómo mantenerse a salvo
Lo ideal es que estas amenazas cibernéticas se detengan en una etapa temprana, cuando un correo malicioso llega a un servidor de correo corporativo. Aunque el ojo humano no siempre puede detectar a primera vista una amenaza, los escáneres de correo suelen estar capacitados para realizar estas tareas. Por ello, un servidor de correo electrónico debería estar protegido con una solución de seguridad adecuada.
Sin embargo, también debes trabajar en promover y aumentar los niveles de concienciación sobre ciberseguridad entre tus empleados; por ejemplo, mediante el uso de plataformas de aprendizaje online.
Para asegurarte de que pase lo que pase el malware que envían los atacantes no se ejecute, también debes considerar proporcionar a los equipos de tus empleados una solución de seguridad competente.