Estamos ante una nueva campaña masiva de correo malicioso dirigida a los empleados de las empresas mediante archivos adjuntos que contienen el spyware Agent Tesla. No obstante, esta vez los atacantes prestan atención especial a los detalles al cuando crean sus e-mails, por lo que estos mensajes pueden ser confundidos por correos electrónicos comerciales legítimos que incluyen documentos adjuntos. Su principal objetivo es engañar al destinatario para que abra el documento adjunto y ejecute el archivo malicioso.
Primero, los ciberdelincuentes utilizan empresas reales como tapadera durante estos ataques: en sus mensajes incluyen logotipos reales y firmas que parecen legítimas. Su comunicación es en inglés, pero no está escrito correctamente, entonces fingen ser residentes de países de habla no inglesa (por ejemplo, Bulgaria o Malasia), para levantar menos sospechas.
Los atacantes envían su archivo malicioso en nombre de distintas empresas y cambian el texto de acuerdo con la situación. A veces preguntan a los empleados de la empresa por el costo de algunos productos que según se encuentran en el archivo adjunto y otras preguntan si un producto en específico está en stock. Es muy probable que no conozcamos aún todas las versiones del texto que utilizan para atraer a sus víctimas, pero la idea es persuadir al destinatario para que compruebe qué productos le interesan a este supuesto cliente. En este caso, los ciberdelincuentes se han esforzado mucho en la fase previa, lo cual no pasa muy a menudo en este tipo de campañas de correo masivo. Usualmente, estas tácticas se utilizan solo para ataques dirigidos.
Desde el punto de vista del destinatario, la única señal de alerta que es de fácil detección es la dirección del remitente. El dominio no coincide con el de la empresa y el nombre del remitente es diferente al que se encuentra en la firma, lo que no suele pasar en las direcciones comerciales legítimas. En el ejemplo anterior, el correo se envía desde la dirección “newsletter@”, algo que puede ser normal si se trata de un correo de marketing, pero no si se trata de un mail en el que se solicitan precios de productos o presupuestos.
¿Qué es el troyano Agent Tesla?
Agent Tesla, identificado por nuestras soluciones como Trojan-PSW.MSIL.Agensla, es un malware muy antiguo que roba información confidencial para enviarla a los atacantes. Primero, localiza los datos de inicio de sesión que se almacenan en distintos programas: navegadores, clientes de correo electrónico, clientes FTP/SCP, bases de datos, herramientas de administración remota, aplicaciones VPN y apps de mensajería instantánea. No obstante, Agent Tesla también puede robar datos que se encuentran en el portapapeles, grabar las pulsaciones del teclado y hacer capturas de pantalla.
Agent Tesla manda toda esta información a los atacantes por correo electrónico. Sin embargo, algunas modificaciones del malware también pueden transferir datos mediante Telegram, la app de mensajería, o subirlos a un sitio web o servidor FTP.
En esta publicación de nuestro blog de Securelist encontrarás más información sobre este malware y esta campaña, así como los principales indicadores de compromiso.
Cómo estar protegido
Lo idóneo es que estas amenazas cibernéticas sean detenidas en una etapa temprana, cuando el correo malicioso llega a un servidor de correo corporativo. Aunque el ojo humano no siempre puede detectar una amenaza a primera vista, los escáneres de correo tienen la capacidad para llevar a cabo esta tarea. Por ello, un servidor de correo electrónico debería estar protegido con una solución de seguridad adecuada.
Sin embargo, también debes trabajar en promover y aumentar los niveles de concienciación sobre ciberseguridad entre tus empleados; por ejemplo, usando plataformas de aprendizaje online.
Para asegurarte de que el malware que envían los atacantes no se ejecute a como dé lugar, también hay que pensar en proporcionar a los equipos de tus empleados una solución de seguridad competente.