El phishing es una técnica clásica para cometer ciberataques, pero no pasa de moda y continúa siendo una de las grandes amenazas de la ciberseguridad tanto para usuarios particulares como para empresas.
En esta ocasión queremos advertir sobre dos campañas de phishing que están acechando a los usuarios españoles con el objetivo de robar sus credenciales. Así lo ha alertado la compañía de ciberseguridad ESET, que indica que los correos suplantan a dos entidades sobradamente conocidas en nuestro país como son CaixaBank y Endesa y que, aunque se trata de dos campañas aparentemente diferentes, todo apunta a que están orquestadas por los mismos ciberdelincuentes. Y es que en ambos casos su objetivo es infectar los dispositivos de las víctimas con una variante del conocido infostealer Agent Tesla, el cual adjuntan en los correos como archivos ejecutables que ESET ha analizado, constatando que, aunque tienen nombres distintos, nos encontramos ante el mismo fichero.
"La finalidad de los atacantes no es otra que la de robar credenciales almacenadas en el sistema de la víctima, más concretamente en las aplicaciones que usa. Aunque suelen ir dirigidas a empresas, los delincuentes no descartan ningún objetivo", avisa ESET, y apunta: "Una vez han obtenido estas credenciales pueden usarlas para preparar campañas más elaboradas, venderlas a otros delincuentes o usarlas para acceder a los servicios y robar información privada o confidencial".
🎭Delincuentes vuelven a suplantar a CaixaBank y Endesa para propagar el malware Agent Tesla.
— ESET España (@ESET_ES) May 13, 2024
✉️Correos electrónicos haciéndose pasar por estas dos empresas adjuntan ficheros maliciosos capaces de robar las credenciales de los usuarios.
➡️https://t.co/Q5gFYB4pEE pic.twitter.com/EYy52xXb9r
Así son los correos de estas campañas de phishing
La compañía de ciberseguridad explica cómo son los correos de estas campañas de phishing. Por un lado, tenemos un e-mail en el que los ciberdelincuentes se hacen pasar por una supuesta empleada de CaixaBank llamada Marta, que adjunta el fichero que contiene Agent Tesla diciendo que envía el "contrato nuevo seguro de vida PARA FIRMAR".
"Es difícil calcular cuantos de los receptores de este correo han contratado recientemente un seguro de vida con esta entidad, pero estamos seguros de que los delincuentes confían en la curiosidad de la gente para abrir ficheros adjuntos que no deberían", comenta ESET.
En el caso de la campaña que suplanta a Endesa, los correos informan al usuario de que supuestamente tiene pendiente de pago una factura correspondiente al pasado mes de abril. "El hecho que se suplante a una de las principales comercializadoras de energía de España hace que el número potencial de usuarios susceptibles de abrir el fichero adjunto sea relativamente elevado".
En cuanto a la utilización de Agent Tesla, ESET subraya que no ha dejado de usarse en campañas contra usuarios españoles desde hace ya algunos años, si bien se trata de una amenaza que está siendo monitorizada activamente por la mayoría de las empresas de ciberseguridad "por lo que debería ser detectada sin demasiados problemas".
A modo de conclusión, la compañía de ciberseguridad resalta que la continuidad de estas campañas, las cuales se iniciaron hace años y los ciberdelincuentes siguen lanzando sin cambiar sustancialmente sus técnicas o formato, pone de manifiesto que "el número de víctimas que obtienen sigue siendo elevado". Por ello, insta a que nos mantengamos alerta y sospechemos de cualquier comunicación no solicitada, aunque parezca provenir de entidades de confianza, así como a implementar soluciones de seguridad que sean capaces de detectar tanto esta como otras muchas ciberamenazas.
Finalmente, cabe recordar que tanto CaixaBank como Endesa ya habían sido suplantadas por los ciberdelincuentes en otras campañas similares.