La ciberamenaza que tiene en la mira a varios países de América Latina

El spear phishing es una modalidad de ataque informático que consiste en la suplantación de identidad de empresas, organizaciones y otro tipo de entidades para llamar la atención de una persona o grupo de personas en específico. En otras palabras, es una estrategia de ataque dirigido.

Recientemente, la empresa de seguridad informática ESET informó sobre una campaña llamada Agent Tesla que tiene este método como principal vector de ataque. La compañía alerta de que la mira de los cibercriminales está sobre varios países de América Latina, pues el grueso de esta actividad se ha detectado en México(45 %), Perú (15 %), Colombia (14 %), Ecuador (12 %) y Chile (5 %).

Se encontró que en la campaña los cibercriminales utilizaron el nombre e identidad gráfica de una reconocida empresa de logística, en donde se le informa que se ha detectado inconsistencias en la dirección de entrega de un paquete. Para resolver el “problema”, se invita a la víctima a revisar un archivo adjunto y verificar la información.

Lea también: Operación discordia: el ataque cibercriminal que tiene en su foco a Colombia

El archivo en cuestión es uno que tiene una terminación en .jpg.xxe, es decir, un archivo ejecutable que se disfraza como una imagen formato jpg. Las víctimas, pensando que se trata de un archivo inofensivo lo abren, sin tener la menor idea de lo que se viene tras ese clic.

Luego de descomprimir el archivo, lo que hace el ejecutable es que descarga y ejecuta un segundo archivo, que es el que recibe el nombre de Agent Tesla, el cual es el que se encarga de infectar el equipo de la víctima.

“Si bien es muy amplio el perfil de los blancos seleccionados por los cibercriminales detrás de esta campaña, se detectaron empresas de diferentes sectores, como el agropecuario o dedicadas a la distribución de insumos médicos, fueron apuntados en estos ataques. AgentTesla, es un troyano que ofrece la posibilidad de recolectar distintos tipos de información del equipo infectado y enviarla a un servidor controlado por los atacantes”, detalló la empresa de ciberseguridad.

Dentro del abanico de posibilidades a las que tiene acceso el atacante tras la infección del equipo, resalta el realizar capturas de pantalla, registrar pulsaciones de teclado, obtener las credenciales guardadas en distintos navegadores web o programas instalados, obtener información de la máquina de la víctima como el tipo de sistema operativo, CPU y nombre de usuario, además de persistir de manera indefinida en el equipo infectado.

Le puede interesar: Cuidado con los falsos correos que usan la identidad de la Registraduría

“El hallazgo de esta campaña comenzó luego de registrar una actividad importante de una amenaza detectada por las soluciones de seguridad de ESET que afectaba principalmente a Microsoft Windows. Se trataba de un código malicioso del tipo downloader que se encarga de comenzar con el proceso de infección del equipo y que luego deriva en la descarga de la amenaza principal: AgentTesla. Vale la pena destacar esta nueva campaña de malware los grupos criminales apuntan a países de América Latina utilizando lo que se conoce como commodity malware, que es un tipo de malware que suele ser comercializado en mercados clandestinos de la dark web y que es utilizado por distintos grupos criminales para realizar campañas a lo largo de todo el mundo.”, aclara Tavella, quien es investigador de ESER Latinoamérica.

No es la primera vez que esta y otras firmas de ciberseguridad encuentran ataques similares, previamente se ha emitido alerta sobre otras campañas como Operación Absoluta, donde atacantes apuntaron a blancos de alto perfil de Colombia para distribuir el malware AsyncRAT, así como Operación Spalax, Operación Bandidos, Operación Discordia y Operación Pulpo Rojo. Todas estas campañas apuntaron principalmente a países de América Latina y utilizaron troyanos de acceso remoto conocidos, como Bandook, njRAT, AsyncRAT o AgentTesla.

Las recomendaciones apuntan a verificar bien la información que llega en correos electrónicos, no abrir mensajes de desconocidos, verificar la dirección de los remitentes y, en suma, mantener una actitud a la defensiva, pues el incremento de este tipo de ataques muestra que lo susceptibles que pueden ser muchos a morder este tipo de anzuelos.

👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.

El spear phishing es una modalidad de ataque informático que consiste en la suplantación de identidad de empresas, organizaciones y otro tipo de entidades para llamar la atención de una persona o grupo de personas en específico. En otras palabras, es una estrategia de ataque dirigido.

Recientemente, la empresa de seguridad informática ESET informó sobre una campaña llamada Agent Tesla que tiene este método como principal vector de ataque. La compañía alerta de que la mira de los cibercriminales está sobre varios países de América Latina, pues el grueso de esta actividad se ha detectado en México(45 %), Perú (15 %), Colombia (14 %), Ecuador (12 %) y Chile (5 %).

Se encontró que en la campaña los cibercriminales utilizaron el nombre e identidad gráfica de una reconocida empresa de logística, en donde se le informa que se ha detectado inconsistencias en la dirección de entrega de un paquete. Para resolver el “problema”, se invita a la víctima a revisar un archivo adjunto y verificar la información.

Lea también: Operación discordia: el ataque cibercriminal que tiene en su foco a Colombia

El archivo en cuestión es uno que tiene una terminación en .jpg.xxe, es decir, un archivo ejecutable que se disfraza como una imagen formato jpg. Las víctimas, pensando que se trata de un archivo inofensivo lo abren, sin tener la menor idea de lo que se viene tras ese clic.

Luego de descomprimir el archivo, lo que hace el ejecutable es que descarga y ejecuta un segundo archivo, que es el que recibe el nombre de Agent Tesla, el cual es el que se encarga de infectar el equipo de la víctima.

“Si bien es muy amplio el perfil de los blancos seleccionados por los cibercriminales detrás de esta campaña, se detectaron empresas de diferentes sectores, como el agropecuario o dedicadas a la distribución de insumos médicos, fueron apuntados en estos ataques. AgentTesla, es un troyano que ofrece la posibilidad de recolectar distintos tipos de información del equipo infectado y enviarla a un servidor controlado por los atacantes”, detalló la empresa de ciberseguridad.

Dentro del abanico de posibilidades a las que tiene acceso el atacante tras la infección del equipo, resalta el realizar capturas de pantalla, registrar pulsaciones de teclado, obtener las credenciales guardadas en distintos navegadores web o programas instalados, obtener información de la máquina de la víctima como el tipo de sistema operativo, CPU y nombre de usuario, además de persistir de manera indefinida en el equipo infectado.

Le puede interesar: Cuidado con los falsos correos que usan la identidad de la Registraduría

“El hallazgo de esta campaña comenzó luego de registrar una actividad importante de una amenaza detectada por las soluciones de seguridad de ESET que afectaba principalmente a Microsoft Windows. Se trataba de un código malicioso del tipo downloader que se encarga de comenzar con el proceso de infección del equipo y que luego deriva en la descarga de la amenaza principal: AgentTesla. Vale la pena destacar esta nueva campaña de malware los grupos criminales apuntan a países de América Latina utilizando lo que se conoce como commodity malware, que es un tipo de malware que suele ser comercializado en mercados clandestinos de la dark web y que es utilizado por distintos grupos criminales para realizar campañas a lo largo de todo el mundo.”, aclara Tavella, quien es investigador de ESER Latinoamérica.

No es la primera vez que esta y otras firmas de ciberseguridad encuentran ataques similares, previamente se ha emitido alerta sobre otras campañas como Operación Absoluta, donde atacantes apuntaron a blancos de alto perfil de Colombia para distribuir el malware AsyncRAT, así como Operación Spalax, Operación Bandidos, Operación Discordia y Operación Pulpo Rojo. Todas estas campañas apuntaron principalmente a países de América Latina y utilizaron troyanos de acceso remoto conocidos, como Bandook, njRAT, AsyncRAT o AgentTesla.

Las recomendaciones apuntan a verificar bien la información que llega en correos electrónicos, no abrir mensajes de desconocidos, verificar la dirección de los remitentes y, en suma, mantener una actitud a la defensiva, pues el incremento de este tipo de ataques muestra que lo susceptibles que pueden ser muchos a morder este tipo de anzuelos.

👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.