top of page

NUEVA CAMPAÑA DE MALWARE EN AMÉRICA LATINA

ESET analizó una campaña que mediante correos de phishing intenta distribuir malware para robar contraseñas y realizar capturas de pantalla en los equipos infectados. México, Perú, Colombia, Ecuador y Chile están entre los países más afectados.




Los investigadores de ESET América Latina descubrieron una campaña de malware dirigida a diferentes países de América Latina y distribuida por correo electrónico en marzo de 2023 y tenía como objetivo final, infestar a las afectados con un malware que posibilita a los agresores ejecutar diversas acciones en el equipo infectado, desde sustraer contraseñas hasta ejecutar capturas de pantalla y después mandar esos datos a los servidores de los cibercriminales.


La campaña empieza con el envío de correos electrónicos de spear phishing con un archivo zip adjunto que no requiere contraseña. ESET reconoció ejemplos de correos electrónicos usados en la campaña, donde la línea de asunto se refería al envío de paquetes y se hacía pasar por una conocida empresa de mensajería y entrega de paquetes.


“Es bastante llamativa la informalidad con la que está redactado el correo, lo cual podría despertar alguna sospecha. Por otro lado, es importante señalar que el archivo adjunto tiene doble extensión, .jpg.xxe. Esto también debería ser interpretado como otra señal de alerta, ya que si una empresa quiere enviar un archivo adjunto no habría necesidad de poner una doble extensión como se ve en este caso. El objetivo de todo esto es confundir a quien recibe el correo para que crea que se trata de una imagen (.jpeg) y no un ejecutable (.exe)”, comenta Fernando Tavella, Malware Researcher de ESET Latinoamérica.


Cómo funciona

El proceso de infección inicia bajando el archivo y extrayéndolo. Las víctimas descubren un archivo ejecutable que, cuando se abre, comienza un proceso de infección de diversas etapas que eventualmente descarga y ejecuta el troyano Agent Tesla en el ordenador de la víctima.


México fue el país con mayor concentración de esta actividad, concentrando el 45% de las pruebas, seguido de Perú (15%), Colombia (14%), Ecuador (12%) y Chile (5%), junto a otros países de Latinoamérica.

Comentaron en ESET que si bien la gama de objetivos escogidos por los ciberdelincuentes detrás de esta campaña es muy extensa, se identificó que empresas de distintos sectores, como el agrícola o destinadas al abastecimiento de suministros médicos, eran blanco de estos ataques.


Agent Tesla es un programa de caballo de Troya que recopila diferentes tipos de información de una computadora infectada y la envía a un servidor controlado por los atacantes. Es manejado por diferentes grupos de delincuentes cibernéticos para espiar y robar información personal de las víctimas.


Algunas de las características más importantes de Agent Tesla

  • Hacer capturas de pantalla y/o del portapapeles (clipboard).

  • Registrar pulsaciones de teclado (Keylogging).

  • Conseguir las credenciales guardadas en diversos navegadores web o programas bajados en la máquina víctima. Por ejemplo, Microsoft Outlook.

  • Extraer información de la máquina de la víctima. Por ejemplo, sistema operativo, CPU, nombre de usuario, etc.

  • Permanecer en la máquina de la víctima.

“El hallazgo de esta campaña comenzó luego de registrar una actividad importante de una amenaza detectada por las soluciones de seguridad de ESET que afectaba principalmente a Microsoft Windows. Se trataba de un código malicioso del tipo downloader que se encarga de comenzar con el proceso de infección del equipo y que luego deriva en la descarga de la amenaza principal: Agent Tesla», aclara Tavella.


«Vale la pena destacar esta nueva campaña de malware los grupos criminales apuntan a países de América Latina utilizando lo que se conoce como commodity malware, que es un tipo de malware que suele ser comercializado en mercados clandestinos de la dark web y que es utilizado por distintos grupos criminales para realizar campañas a lo largo de todo el mundo”, añade el especialista de ESET Latinoamérica.


Otras campañas

Últimamente, el equipo de ESET ha encontrado y estudiado varias campañas apuntadas a los países de la región, donde los grupos criminales utilizan este tipo de malware para el espionaje, apuntando a empresas y agencias gubernamentales en diferentes países.


Este fue el caso, por ejemplo, con Operación Absoluta, donde los atacantes se enfocaron en objetivos de alto perfil de Colombia para distribuir el malware AsyncRAT, así como con Operación Spalax, Operación Bandidos, Operación Discordia y Operación Pulpo Rojo. Todas estas campañas se dirigen principalmente a países latinoamericanos y utilizaron troyanos de acceso remoto conocidos como Bandook, njRAT, AsyncRAT o AgentTesla.

Comments


Banner 2x EXPO 2024 emtradas.jpg

           Últimas Noticias                                                   

bottom of page