ESET, compañía líder en detección proactiva de amenazas, analizó una campaña que mediante correos de phishing intenta distribuir malware para robar contraseñas y realizar capturas de pantalla en los equipos infectados. México, Perú, Colombia, Ecuador y Chile están entre los países más afectados.

El equipo de investigación de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, descubrió en marzo de 2023 una campaña de malware que apuntaba a varios países de América Latina y que se distribuía a través de correos electrónicos. El objetivo final era infectar a las víctimas con un malware que permite a los atacantes realizar distintas acciones en el equipo infectado, desde robar contraseñas hasta realizar capturas de pantalla y luego enviar esta información a los servidores de los cibercriminales.

La campaña comienza con el envío de correos de spearphishing que contienen un archivo comprimido adjunto que no requiere contraseña. ESET identificó un ejemplo de los correos utilizados en esta campaña donde el asunto hace referencia al envío de un paquete y suplanta la identidad de una empresa muy conocida dedicada a la entrega de mensajería y paquetería.

Ejemplo de un correo de phishing enviado en esta campaña.

“Es bastante llamativa la informalidad con la que está redactado el correo, lo cual podría despertar alguna sospecha. Por otro lado, es importante señalar que el archivo adjunto tiene doble extensión, .jpg.xxe. Esto también debería ser interpretado como otra señal de alerta, ya que si una empresa quiere enviar un archivo adjunto no habría necesidad de poner una doble extensión como se ve en este caso. El objetivo de todo esto es confundir a quien recibe el correo para que crea que se trata de una imagen (.jpeg) y no un ejecutable (.exe).”, resalta Fernando Tavella, Malware Researcher de ESET Latinoamérica.

El proceso de infección comienza al descargar el archivo y descomprimirlo. La víctima encontrará un archivo ejecutable que al abrirlo comenzará un proceso de infección de varias etapas que culmina con la descarga y ejecución del troyano AgentTesla en el equipo de la víctima.

Proceso de infección de Operación Guinea Pig. Comienza por un correo electrónico y termina en la infección con el troyano de acceso remoto AgentTesla.

México fue el país en el que se concentró la mayor actividad de esta campaña con el 45% de las detecciones, seguido por Perú (15%), Colombia (14%), Ecuador (12%) y Chile (5%), además de otros países de la región.  Desde ESET mencionan que si bien es muy amplio el perfil de los blancos seleccionados por los cibercriminales detrás de esta campaña, se detectaron empresas de diferentes sectores, como el agropecuario o dedicadas a la distribución de insumos médicos, fueron apuntados en estos ataques.

Cantidad de detecciones en LATAM de PowerShell/TrojanDownloader.GNZ

AgentTesla, es un troyano que ofrece la posibilidad de recolectar distintos tipos de información del equipo infectado y enviarla a un servidor controlado por los atacantes. Es utilizado por diferentes grupos cibercriminales para espiar y robar información personal de las víctimas. Según ESET, algunas de las características más importantes de AgentTesla son:

• Realizar capturas de pantalla y/o del portapapeles (clipboard)

• Registrar pulsaciones de teclado (Keylogging)

• Obtener las credenciales guardadas en distintos navegadores web o programas instalados en la máquina víctima. Por ejemplo, Microsoft Outlook.

• Obtener información de la máquina de la víctima. Por ejemplo, sistema operativo, CPU, nombre de usuario, etc.

• Persistir en la máquina de la víctima

“El hallazgo de esta campaña comenzó luego de registrar una actividad importante de una amenaza detectada por las soluciones de seguridad de ESET que afectaba principalmente a Microsoft Windows. Se trataba de un código malicioso del tipo downloader que se encarga de comenzar con el proceso de infección del equipo y que luego deriva en la descarga de la amenaza principal: AgentTesla. Vale la pena destacar esta nueva campaña de malware los grupos criminales apuntan a países de América Latina utilizando lo que se conoce como commodity malware, que es un tipo de malware que suele ser comercializado en mercados clandestinos de la dark web y que es utilizado por distintos grupos criminales para realizar campañas a lo largo de todo el mundo.”, aclara Tavella de ESET Latinoamérica.

En los últimos años el equipo de ESET descubrió y analizó varias campañas apuntando a países de la región en las que grupos criminales utilizaron este tipo de malware con fines de espionaje para atacar a empresa y organismos gubernamentales de distintos países. Este fue el caso, por ejemplo, de Operación Absoluta, donde atacantes apuntaron a blancos de alto perfil de Colombia para distribuir el malware AsyncRAT, así como Operación Spalax, Operación Bandidos, Operación Discordia y Operación Pulpo Rojo. Todas estas campañas apuntaron principalmente a países de América Latina y utilizaron troyanos de acceso remoto conocidos, como Bandook, njRAT, AsyncRAT o AgentTesla.