Mediante este ataque los cibercriminales pueden tomar capturas de pantalla en los equipos infectados de sus víctimas, así como robar sus claves

La ciberamenaza que tiene en la mira a varios países de América Latina. El spear phishing es una modalidad de ataque informático que consiste en la suplantación de identidad de empresas, organizaciones y otro tipo de entidades para llamar la atención de una persona o grupo de personas en específico. En otras palabras, es una estrategia de ataque dirigido.

Recientemente, la empresa de seguridad informática ESET informó sobre una campaña llamada Agent Tesla que tiene este método como principal vector de ataque. La compañía alerta de que la mira de los cibercriminales está sobre varios países de América Latina, pues el grueso de esta actividad se ha detectado en México(45 %), Perú (15 %), Colombia (14 %), Ecuador (12 %) y Chile (5 %).

Se encontró que en la campaña los cibercriminales utilizaron el nombre e identidad gráfica de una reconocida empresa de logística, en donde se le informa que se ha detectado inconsistencias en la dirección de entrega de un paquete. Para resolver el “problema”, se invita a la víctima a revisar un archivo adjunto y verificar la información.

El archivo en cuestión es uno que tiene una terminación en .jpg.xxe, es decir, un archivo ejecutable que se disfraza como una imagen formato jpg. Las víctimas, pensando que se trata de un archivo inofensivo lo abren, sin tener la menor idea de lo que se viene tras ese clic.

Luego de descomprimir el archivo, lo que hace el ejecutable es que descarga y ejecuta un segundo archivo, que es el que recibe el nombre de Agent Tesla, el cual es el que se encarga de infectar el equipo de la víctima.

“Si bien es muy amplio el perfil de los blancos seleccionados por los cibercriminales detrás de esta campaña, se detectaron empresas de diferentes sectores, como el agropecuario o dedicadas a la distribución de insumos médicos, fueron apuntados en estos ataques. AgentTesla, es un troyano que ofrece la posibilidad de recolectar distintos tipos de información del equipo infectado y enviarla a un servidor controlado por los atacantes”, detalló la empresa de ciberseguridad.

Dentro del abanico de posibilidades a las que tiene acceso el atacante tras la infección del equipo, resalta el realizar capturas de pantalla, registrar pulsaciones de teclado, obtener las credenciales guardadas en distintos navegadores web o programas instalados, obtener información de la máquina de la víctima como el tipo de sistema operativo, CPU y nombre de usuario, además de persistir de manera indefinida en el equipo infectado.

“El hallazgo de esta campaña comenzó luego de registrar una actividad importante de una amenaza detectada por las soluciones de seguridad de ESET que afectaba principalmente a Microsoft Windows. Se trataba de un código malicioso del tipo downloader que se encarga de comenzar con el proceso de infección del equipo y que luego deriva en la descarga de la amenaza principal: AgentTesla.

No es la primera vez que esta y otras firmas de ciberseguridad encuentran ataques similares, previamente se ha emitido alerta sobre otras campañas como Operación Absoluta, donde atacantes apuntaron a blancos de alto perfil de Colombia para distribuir el malware AsyncRAT, así como Operación Spalax, Operación Bandidos, Operación Discordia y Operación Pulpo Rojo. Todas estas campañas apuntaron principalmente a países de América Latina y utilizaron troyanos de acceso remoto conocidos, como Bandook, njRAT, AsyncRAT o AgentTesla.