TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Robo de información confidencial.

Descripción

De acuerdo con investigaciones realizadas, se ha detectado una nueva campaña de spam por correo electrónico del troyano conocido como “Agent Tesla”, particularmente contra usuarios de empresas españolas.

En esta campaña, Agent Tesla utiliza la técnica conocida como spearphishing, una estafa dirigida a personas y organizaciones específicas con el fin de robar datos. Los correos electrónicos enviados a los usuarios suplantan la entidad financiera del banco “BBVA” en un mensaje fraudulento que simula ser una factura y es acompañado con archivos adjuntos.

El dominio de los correos electrónicos aparentemente corresponde a la empresa BBVA, pero al investigar más a detalle las cabeceras de estos, se demostró que el dominio real fue reemplazado con spoofing, una técnica para suplantar la identidad de algunas personas o empresas.

La forma de operar de este troyano comienza cuando un usuario descarga un archivo “RAR,” lo descomprime y ejecuta un programa llamado “Facturas Pagadas al Vencimiento.exe”, posteriormente este empieza a hacer consultas WMI (Windows Management Instrumentation) para recolectar información del sistema y de la red, y así también determinar si se ejecutó en un sistema virtualizado o en una sandbox.

En paralelo a lo anterior, Agent Tesla agrega procesos para evitar ser identificado por los sistemas de detección, y gracias a una serie de subprocesos el programa es capaz de robar:

  • Información como credenciales y sesiones de Putty y WinSCP.
  • Información de los navegadores web como el Historial, credenciales, cookies, etc.
  • Credenciales de servicios FTP.
  • Credenciales de buzones de correo electrónico almacenadas en el sistema.

Una vez que el atacante obtiene los datos inicia una conexión a un servidor comprometido para hacer uso de la información y enviarla a través de un correo electrónico en “Yandex”. El uso de dicha cuenta en Yandex disminuye la probabilidad de que sean identificados por sistemas de detección, al tratarse de un servicio reconocido y legítimo.

Al utilizar un método de propagación sencillo y efectivo, los criminales consiguen engañar a los usuarios con facilidad y obtener una elevada tasa de éxito en sus campañas de malspam.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistemas Operativos Microsoft Windows.

Indicadores de compromiso(IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5:
    • 947E0738B2CDC6FCF2ED62E8E732823C
    • 097376914669C710B35FE2E009F2AEF5
    • 26B9F9A4D84A0287DFD6EFFADA6EF96A
    • DBADA3C46BEFE8D025594C2B908AA3C5
  • SHA-1:
    • 86F668C6DF1092BAD6AC9CA49A2B3C37CFCA53A7
    • 118296509C23C746FA2C4D08A22075D9DBD7C4FF
    • 2F4CF88B44602EFB9BF9AF2FBCD4F7AF1F874076
    • 62126B40A1C2F0B015FB0F0059475FF051D1846A
  • SHA-256:
    • 553AB9A45034A443EE5022BC9928AE6F81B3760BDA11BB7A2FFDD09973104157
    • 0E47251F04A2AA6ADE04D44592427714EF8660EB9B2EFCAC8977EAF7BA619963
    • F7EE9607DD13FB2B0E5A9D35F3A35D70D373A607DB86E41D6D93C9F79150713A
    • FCF9AC1F79FC41AFFF0650CFA6BA651D60A1EB88C2EFDE4A36F8AEF85FFB75DB
  • Dominios:
    • dortkim[.]com
    • tovisi[.]pt
    • iberweb26a[.]ibername[.]com
  • Urls:
    • hxxp://M54HQH45ytIf7o[.]net
  • E-mail:
    • hakansengel[@]dortkim[.]com
    • mferreira[@]tovisi[.]pt
    • barbosabronx[@]yandex[.]com

Medidas de contención

  • Evitar abrir enlaces o archivos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Mantener actualizadas las herramientas de antimalware.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias