En los últimos años, los emails que suplantan la identidad de entidades bancarias se han convertido en todo un clásico utilizados por los ciberdelincuentes para poder llevar a cabo sus acciones ilícitas. En la actualidad, estos mensajes se asemejan casi a la perfección con los originales que envían las entidades, lo que hace que no sea complicado que alguien muerda el anzuelo.
En estos correos electrónicos enviados de manera masiva, podemos observar cómo se utiliza la identidad del Banco Santander. Incluso se incluye un dominio que aparentemente está vinculado a esta entidad, todo con el propósito de generar confianza en el destinatario del correo electrónico. El problema principal radica en que la apariencia de este correo puede parecer fiable para muchos usuarios que mantienen algún tipo de relación financiera con esta entidad. Solamente la desconfianza y un análisis minucioso de elementos como la cabecera del correo podrían llevar a sospechas, algo que muy pocos usuarios se tomarán el tiempo de hacer.
Además, vemos como el correo viene acompañado de un fichero adjunto, fichero que aparece comprimido y con el sugerente nombre de “Transferencia”. Al no indicarse ningún concepto de esta supuesta transferencia ni su origen y al estar dirigido este correo principalmente a departamentos de contabilidad y finanzas de empresas españolas es probable que algún usuario se decida a descargar y abrir dicho fichero adjunto para revisar su contenido. En su interior no encontraremos ningún documento que represente un justificante, pero si un archivo ejecutable con el mismo nombre del archivo comprimido.
Como indicábamos, esta campaña parece (como muchas otras analizadas a diario en nuestros laboratorios) especialmente dirigida a empresas españolas, tal y como se demuestra en la tasa de detección relativa de esta amenaza en España con respecto a otros países y según los datos de telemetría proporcionados por ESET.
Que sigan utilizándose con éxito este tipo de técnicas poco elaboradas en nuestro país demuestra que los delincuentes aun encuentran víctimas que no cuentan con las medidas de seguridad (ni con empleados concienciados) para detectar este tipo de amenazas comunes. Esto supone un elevado riesgo, ya que estos incidentes pueden desembocar en amenazas mucho más peligrosas para empresas de todos los tamaños.
Analizando la amenaza
Tal y como hemos podido comprobar, los delincuentes detrás de esta campaña no han puesto ningún esmero en camuflar el fichero ejecutable malicioso ni tampoco parece que hayan empleado técnicas especialmente avanzadas de ofuscación de código para dificultar su análisis. Así pues, no es difícil averiguar que nos encontramos ante una nueva campaña de propagación del infostealer Agent Tesla, un viejo conocido que sigue liderando los listados de las amenazas más detectadas en España.
Como dato significativo, que vuelve a demostrar las técnicas que los delincuentes emplean desde hace tiempo para tratar de evitar que sus amenazas sean fácilmente detectadas, observamos como esta amenaza trata de incluir una exclusión en Windows Defender para que no analice las carpetas donde se alojan los ficheros maliciosas que participan en esta cadena de infección.
Para ello hace uso del comando “Add-MpPreference” dentro de un comando PowerShell, lo que permite especificar parámetro como “ExclusionPath” para impedir que Defender analice el contenido de la carpeta indicada.
Esta práctica y otras similares es algo habitual ya que Defender viene instalado por defecto en sistemas Windows y es la primera línea de defensa que todo malware que se precie va a intentar evadir. Por ese motivo es importante contar con soluciones de seguridad de terceros que compliquen las cosas a los atacantes y eviten que nuestro sistema pueda ser infectado de forma sencilla.
Con respecto al robo y exfiltración de credenciales, estas se obtienen de aplicaciones de uso común que están instaladas en el sistema tales como clientes de correo, navegadores de Internet, clientes VPT o clientes FTP, entro otros. Una vez obtenidas las credenciales Agent Tesla dispone de varios métodos para enviarlas a los delincuentes optando, en esta ocasión, por el uso de un servidor de correo comprometido perteneciente a una empresa australiana.
A pesar de que este tipo de campañas maliciosas son muy frecuentes y el malware empleado es fácilmente detectable por una solución de seguridad moderna no debemos subestimar la capacidad que un infostealer tiene para hacer provocar importantes daños incluso a grandes corporaciones. El reciente incidente sufrido por la filial española de Orange tuvo su origen en unas credenciales robadas previamente por el infostealer Racoon, otra de las amenazas de este tipo más extendidas actualmente.
A pesar de que no se usen técnicas elaboradas, la amenaza que suponen los ladrones de información puede llegar a ser un problema muy serio para nuestras empresas si no aplicamos las medidas de seguridad necesarias. Es importante aprender a reconocer sus vectores de ataque y establecer medidas que impidan que puedan robar información confidencial y mitigar su impacto en el caso de que las credenciales se vean comprometidas.
