En marzo de 2023, el equipo investigador de ESET Latinoamérica halló una campaña de software malicioso que afectaba a varios países de América Latina y se propagaba mediante correos electrónicos.
La meta principal consistía en contaminar a las víctimas con un malware que otorga a los agresores la capacidad de llevar a cabo diversas actividades en el dispositivo infectado, desde sustraer contraseñas hasta efectuar capturas de pantalla, para después transmitir esta información a los sistemas de los ciberdelincuentes.
La campaña comienza con el envío de correos de spearphishing que contienen un archivo comprimido adjunto que no requiere contraseña. ESET identificó un ejemplo de los correos utilizados en esta campaña, donde el asunto hace referencia al envío de un paquete y suplanta la identidad de una empresa muy conocida dedicada a la entrega de mensajería y paquetería.
“Es bastante llamativa la informalidad con la que está redactado el correo, lo cual podría despertar alguna sospecha. Por otro lado, es importante señalar que el archivo adjunto tiene doble extensión, .jpg.xxe. Esto también debería ser interpretado como otra señal de alerta, ya que si una empresa quiere enviar un archivo adjunto no habría necesidad de poner una doble extensión como se ve en este caso. El objetivo de todo esto es confundir a quien recibe el correo para que crea que se trata de una imagen (.jpeg) y no un ejecutable (.exe).”, resalta Fernando Tavella, Malware Researcher de ESET Latinoamérica.
El proceso de infección comienza al descargar el archivo y descomprimirlo. La víctima encontrará un archivo ejecutable que al abrirlo comenzará un proceso de infección de varias etapas que culmina con la descarga y ejecución del troyano AgentTesla en el equipo de la víctima.
México fue el país en el que se concentró la mayor actividad de esta campaña con el 45% de las detecciones, seguido por Perú (15%), Colombia (14%), Ecuador (12%) y Chile (5%), además de otros países de la región. Desde ESET mencionan que si bien es muy amplio el perfil de los blancos seleccionados por los cibercriminales detrás de esta campaña, se detectaron empresas de diferentes sectores, como el agropecuario o dedicadas a la distribución de insumos médicos, fueron apuntados en estos ataques.
AgentTesla, es un troyano que ofrece la posibilidad de recolectar distintos tipos de información del equipo infectado y enviarla a un servidor controlado por los atacantes. Es utilizado por diferentes grupos cibercriminales para espiar y robar información personal de las víctimas.
Características más importantes de AgentTesla
- Realizar capturas de pantalla y/o del portapapeles (clipboard)
- Registrar pulsaciones de teclado (Keylogging)
- Obtener las credenciales guardadas en distintos navegadores web o programas instalados en la máquina víctima. Por ejemplo, Microsoft Outlook.
- Obtener información de la máquina de la víctima. Por ejemplo, sistema operativo, CPU, nombre de usuario, etc.
- Persistir en la máquina de la víctima
“El hallazgo de esta campaña comenzó luego de registrar una actividad importante de una amenaza detectada por las soluciones de seguridad de ESET que afectaba principalmente a Microsoft Windows. Se trataba de un código malicioso del tipo downloader que se encarga de comenzar con el proceso de infección del equipo y que luego deriva en la descarga de la amenaza principal: AgentTesla. Vale la pena destacar esta nueva campaña de malware los grupos criminales apuntan a países de América Latina utilizando lo que se conoce como commodity malware, que es un tipo de malware que suele ser comercializado en mercados clandestinos de la dark web y que es utilizado por distintos grupos criminales para realizar campañas a lo largo de todo el mundo.”, aclara Tavella de ESET Latinoamérica.
En los últimos años, el equipo de ESET descubrió y analizó varias campañas apuntando a países de la región en las que grupos criminales utilizaron este tipo de malware con fines de espionaje para atacar a empresa y organismos gubernamentales de distintos países. Este fue el caso, por ejemplo, de Operación Absoluta, donde atacantes apuntaron a blancos de alto perfil de Colombia para distribuir el malware AsyncRAT, así como Operación Spalax, Operación Bandidos, Operación Discordia y Operación Pulpo Rojo. Todas estas campañas apuntaron principalmente a países de América Latina y utilizaron troyanos de acceso remoto conocidos, como Bandook, njRAT, AsyncRAT o AgentTesla.