Las campañas de phishing están a la orden del día y últimamente están siendo muy habituales las que utilizan amenazas especializadas en el robo de información, conocidas como infostealers. Agent Tesla y Formbook son los malwares que más se están empleando en estos tipos de ataques y si hace unos días ESET advirtió que Formbook se está difundiendo en correos electrónicos que se aprovechan de una vulnerabilidad de Microsoft activa desde 2017, ahora ha alertado que Agent Tesla se está propagando en dos e-mails fraudulentos que suplantan la identidad de la empresa de mensajería DHL y que apuntan especialmente a los usuarios españoles.
Según señala Josep Albors, director de investigación y concienciación de ESET España, los pretextos que utilizan estos correos son que se ha intentado realizar una entrega de un paquete pero que no se ha tenido éxito, o que se ha depositado en un almacén cercano. Así, tratan de ganarse la confianza de los usuarios para que se descarguen y ejecuten los archivos que llevan adjuntos, los cuales se encuentran comprimidos de manera que no se puede ver su extensión real a menos que se proceda a descomprimirlos.
Albor continúa subrayando que uno de los correos incluye un fichero ejecutable, "algo que debería activar todas las alarmas puesto que es un claro indicativo de que nos encontramos ante un nuevo intento de infectar el sistema en el que hemos abierto el correo".
"No obstante, en el otro caso vemos como los delincuentes han optado por usar un archivo con la extensión .CHM, un tipo de archivo de ayuda que fue desarrollado por Microsoft hace más de dos décadas. Este archivo se encarga de ejecutar un script en PowerShell y que los delincuentes utilizan para descargar otro archivo de nombre F37.jpg, ubicado en una web que ha sido previamente comprometida para alojar código malicioso".
Según indica, soluciones de seguridad como la de ESET bloquean el acceso a la descarga de este fichero y catalogan este tipo de mensajes como spam. Sin embargo, avisa que si se ignora la advertencia, se puede comprobar que el supuesto archivo es, en realidad, un "fichero de texto con largas cadenas de código PowerShell ofuscado responsable de descargar y ejecutar el payload final".
El experto en ciberseguridad de ESET prosigue explicando que Agent Tesla está especializado en el robo de credenciales almacenadas en varias aplicaciones de uso cotidiano en empresas – como navegadores de Internet, clientes de correo electrónico, de VPN o de FTP.
"Estas credenciales son luego usadas por el mismo grupo criminal o vendidas a otros delincuentes para lanzar ataques dirigidos a esas empresas o seguir propagando amenazas usando las cuentas de correo robadas".
Además, Albors advierte que Agent Tesla se ofrece en formato de malware como servicio, por lo que los cibercriminales detrás de este tipo de campañas pueden tener niveles de experiencia técnica muy diferentes.