ESET ha detectado nuevos métodos de propagación y distintas técnicas en cuanto a distribución de malware se refiere, en esta ocasión han utilizado el malware Agent Tesla, desgraciadamente ya conocido.
Según señala el blog de ESET, les ha llamado poderosamente la atención que el mensaje estuviese redactado en inglés y fuese enviado supuestamente desde una dirección de email turca, puesto que en varias de las últimas campañas analizadas los delincuentes se molestaban al menos en mandar los correos desde direcciones de correos comprometidas de empresas españolas y redactaban los mensajes en castellano.
No obstante, a veces la curiosidad de los empleados puede ser peligrosa, y es que además son muchas las empresas que mantienen relaciones con Turquía, lo que hace perfectamente posible que quien reciba el mensaje apriete sobre la imagen de la supuesta orden de compra, lo que inicia la catástrofe: el proceso para la descarga del malware
En este tipo de correos maliciosos, según informa ESET, la imagen adjunta contiene un enlace incrustado que redirige a una URL donde los delincuentes suelen guardar el malware. En esta ocasión, este se encuentra almacenado en el servicio OneDrive de Microsoft, tal y como podemos comprobar al revisar el código fuente del mensaje.
Si el usuario que recibe el correo pulsa sobre la imagen incrustada, se le redigirá a una web preparada por los delincuentes alojada en el servicio OneDrive. La web dispone de tres supuestos archivos ofimáticos en diferentes formatos con la supuesta orden de compra.
Ya está la mitad del camino andado para los cibermalos. Al ser redirigidos a un servicio donde se comparten ficheros, la víctima pica el anzuelo y baja la guardia, cree que está en territorio seguro, con archivos inofensivos. Pero, como señala ESET, "al pulsar sobre cualquiera de las opciones disponibles para la descarga de los archivos siempre se nos muestra la misma opción para abrir o descargar un archivo comprimido en formato TGZ".
¿Y qué ocurre? al abrir el archivo comprimido en lugar de un documento ofimático en formato WORD, EXCEL o PDF, la víctima se topa con un fichero en formato EXE. Este debería ser el momento en el que paramos, en el que digamos "quieto ahí", pero muchos son los que continúan. Parece existir una atracción tan absurda como fatal por ejecutar archivos peligrosos, muchos obviarán lo que está ocurriendo por no se sabe qué extraños mecanismos mentales, y otros ni siquiera dispondrán de la opción habilitada para saber cuál es la extensión del fichero que están a punto de abrir.
Si el fichero termina ejecutándose en el sistema, este realizará sus acciones maliciosas, centradas en detectar y obtener credenciales almacenadas en algunas de las aplicaciones instaladas en el sistema, como, por ejemplo, los navegadores de Internet.
El análisis de la muestra en un entorno seguro y controlado nos revela que lo que se ejecuta es el conocido infostealer Agent Tesla. Además, en esta campaña en concreto y a pesar de que el correo electrónico se encuentra redactado en inglés, se ha podido comprobar que la mayoría de detecciones se han producido en España, por lo que perfectamente podríamos estar ante una campaña dirigida a empresas españolas como otras tantas que ha analizado la compañía de ciberseguridad en meses anteriores.
Las credenciales obtenidas de esta forma son posteriormente utilizadas en ataques más dirigidos que pueden terminar con el robo y cifrado de información confidencial. La conclusión de este estudio, en este caso práctico, es que el año empieza con una tendencia: los delincuentes apenas han cambiado las técnicas que tan excelentes resultados les han dado en 2021. La gente sigue picando. Y hay que implementar los cortafuegos y las medidas de seguridad.