Notificación de entrega de GLS y Justificante de pago, dos nuevas campañas de Agent Tesla dirigidas a los usuarios españoles
A la hora de propagar sus amenazas, es frecuente observar cómo los delincuentes reutilizan técnicas que les han funcionado bien con anterioridad, algo especialmente cierto cuando se trata de amenazas que se propagan por mensajes de texto o email.
En el caso de las Notificaciones de Entrega, con frecuencia los delincuentes reutilizan una y otra vez plantillas de correo para tratar de engañar a los usuarios y conseguir que pulsen sobre los enlaces incluidos o que descarguen y ejecuten los ficheros adjuntos. Normalmente, estas plantillas se reutilizan durante semanas o meses hasta que pierden efectividad. Sin embargo, ESET ha detectado una nueva campaña de propagación de Agent Tesla, malware especializado en el robo de información, gracias a los datos proporcionados por el investigador Germán Fernández, quien informaba acerca de un correo suplantando a la empresa de logística GLS para propagar una nueva variante de este conocido infostealer.
El cuerpo del mensaje es exactamente igual a uno que ESET ya detectó y analizó a finales de junio de 2020. Los delincuentes han mantenido exactamente el mismo cuerpo del mensaje, tan solo han cambiado la fecha y la dirección a la que apunta el enlace incluido. También es destacable que, en ambos correos enviados con más de un año de diferencia, aparezca como remitente una dirección de correo con el dominio de Rumanía. Revisando las direcciones donde se han encontrado ficheros similares, ESET ha observado cómo los delincuentes siguen alojándolos en servicios en la nube como OneDrive de Microsoft, además de observar otros nombres para el fichero malicioso, lo que podría indicar que también se estén utilizando otras campañas con otros asuntos para propagar esta amenaza.
Al analizar el comportamiento del malware contenido dentro del archivo “Detalles de envío GLS.exe”, se observa que, como viene siendo habitual en Agent Tesla y otras herramientas de control remoto (RATs por sus siglas en inglés), su finalidad es el robo de credenciales almacenadas en aplicaciones como Clientes de correo, navegadores de Internet o clientes FTP, entre otros.
Los Justificantes de Pago, otra fuente de peligro
Tal y como señalan los expertos de ESET, una de las plantillas de correo que más se ha estado utilizando durante los últimos meses por parte de los delincuentes para propagar amenazas como Agent Tesla, ha sido la que simula ser un justificante de pago emitido por una empresa que, muchas veces, suele ser un cliente o proveedor de la empresa que recibe estos emails, dirigidos normalmente a los departamentos de administración.
Tal y como señalan los expertos de ESET, una de las plantillas de correo que más se ha estado utilizando durante los últimos meses por parte de los delincuentes para propagar amenazas como Agent Tesla, ha sido la que simula ser un justificante de pago emitido por una empresa que, muchas veces, suele ser un cliente o proveedor de la empresa que recibe estos emails, dirigidos normalmente a los departamentos de administración.
Se trata de unos mensajes que suelen ser bastante escuetos y solamente indican al usuario que lo recibe que se adjunta un justificante de pago y se muestra lo que parece ser una imagen con dicho justificante.
Sin embargo, esta imagen contiene un enlace que redirige al usuario a la descarga de un archivo comprimido de nombre “just11f.tgz” que, a su vez, contiene el archivo “just11f.exe”, responsable de la infección.
Al analizar el comportamiento del archivo malicioso, los expertos de ESET han observado que este, de nuevo, vuelve a estar centrado en el robo de credenciales almacenadas en aplicaciones del sistema.
En cuanto al impacto de estas campañas, todavía no se han producido muchas detecciones, pero estas sí están centradas en España, comentan desde ESET. Es posible que en el caso de que estas campañas sigan activas, el número de detecciones de Agent Tesla aumente sustancialmente en nuestro país, por lo que tal y como advierten desde la compañía, conviene estar alerta.
