Identifican campaña que busca distribuir malware en Latinoamérica

Especialistas en ciberseguridad detectaron un malware que se distribuía vía correos electrónicos en América Latina. Se suplanta la identidad de empresas para atacar a los usuarios.

En marzo de 2023, el equipo investigador de halló una campaña de software malicioso que afectaba a varios países de América Latina y se propagaba mediante correos electrónicos. La meta principal consistía en contaminar a las víctimas con un malware que otorga a los agresores la capacidad de llevar a cabo diversas actividades en el dispositivo infectado, desde sustraer contraseñas hasta efectuar capturas de pantalla, para después transmitir esta información a los sistemas de los ciberdelincuentes.

La campaña comienza con el envío de correos de spearphishing que contienen un archivo comprimido adjunto que no requiere contraseña. ESET identificó un ejemplo de los correos utilizados en esta campaña, donde el asunto hace referencia al envío de un paquete y suplanta la identidad de una empresa muy conocida dedicada a la entrega de mensajería y paquetería.

“Es bastante llamativa la informalidad con la que está redactado el correo, lo cual podría despertar alguna sospecha. Por otro lado, es importante señalar que el archivo adjunto tiene doble extensión, .jpg.xxe. Esto también debería ser interpretado como otra señal de alerta, ya que si una empresa quiere enviar un archivo adjunto no habría necesidad de poner una doble extensión como se ve en este caso. El objetivo de todo esto es confundir a quien recibe el correo para que crea que se trata de una imagen (.jpeg) y no un ejecutable (.exe).”, resalta Fernando Tavella, Malware Researcher de ESET Latinoamérica.

El proceso de infección comienza al descargar el archivo y descomprimirlo. La víctima encontrará un archivo ejecutable que al abrirlo comenzará un proceso de infección de varias etapas que culmina con la descarga y ejecución del en el equipo de la víctima.

México fue el país en el que se concentró la mayor actividad de esta campaña con el 45% de las detecciones, seguido por Perú (15%), Colombia (14%), Ecuador (12%) y Chile (5%), además de otros países de la región.  Desde ESET mencionan que si bien es muy amplio el perfil de los blancos seleccionados por los cibercriminales detrás de esta campaña, se detectaron empresas de diferentes sectores, como el agropecuario o dedicadas a la distribución de insumos médicos, fueron apuntados en estos ataques.

AgentTesla, es un troyano que ofrece la posibilidad de recolectar distintos tipos de información del equipo infectado y enviarla a un servidor controlado por los atacantes. Es utilizado por diferentes grupos cibercriminales para espiar y robar información personal de las víctimas.

Características más importantes de AgentTesla

El hallazgo de esta campaña comenzó luego de registrar una actividad importante de una amenaza detectada por las soluciones de seguridad de ESET que afectaba principalmente a Microsoft Windows. Se trataba de un código malicioso del tipo downloader que se encarga de comenzar con el proceso de infección del equipo y que luego deriva en la descarga de la amenaza principal: AgentTesla. Vale la pena destacar esta nueva campaña de malware los grupos criminales apuntan a países de América Latina utilizando lo que se conoce como commodity malware, que es un tipo de malware que suele ser comercializado en mercados clandestinos de la dark web y que es utilizado por distintos grupos criminales para realizar campañas a lo largo de todo el mundo.”, aclara Tavella de ESET Latinoamérica.

En los últimos años, el equipo de ESET descubrió y analizó varias campañas apuntando a países de la región en las que grupos criminales utilizaron este tipo de malware con fines de espionaje para atacar a empresa y organismos gubernamentales de distintos países. Este fue el caso, por ejemplo, de , donde atacantes apuntaron a blancos de alto perfil de Colombia para distribuir el malware AsyncRAT, así como  y . Todas estas campañas apuntaron principalmente a países de América Latina y utilizaron troyanos de acceso remoto conocidos, como Bandook, njRAT, AsyncRAT o AgentTesla.

Escucha Dale Play en . Sigue el programa todos los lunes en nuestras plataformas de audio disponibles.

Tags Relacionados:

Contenido Sugerido

Contenido GEC

Te puede interesar:

Kingston Technology consigue nuevo Récord Mundial con DDR5

Kingston lanzará nuevas memorias CUDIMM para el chipset Intel serie 800

Forma parte de la edición 2024 del Xiaomi Imagery Awards y exhibe tu habilidad fotográfica

Razer presenta los micrófonos Seiren V3 Chroma y Seiren V3 Mini

Razer busca proteger el medio ambiente gracias a nuevas iniciativas

Tres modelos de sillas gamer de Razer a tener presente

Xiaomi 13T: ¿su cámara es tan buena como se promociona?