Descripción
De acuerdo con investigaciones realizadas, se ha detectado una nueva campaña de spam por correo electrónico del troyano conocido como “Agent Tesla”, particularmente contra usuarios de empresas españolas.
En esta campaña, Agent Tesla utiliza la técnica conocida como spearphishing, una estafa dirigida a personas y organizaciones específicas con el fin de robar datos. Los correos electrónicos enviados a los usuarios suplantan la entidad financiera del banco “BBVA” en un mensaje fraudulento que simula ser una factura y es acompañado con archivos adjuntos.
El dominio de los correos electrónicos aparentemente corresponde a la empresa BBVA, pero al investigar más a detalle las cabeceras de estos, se demostró que el dominio real fue reemplazado con spoofing, una técnica para suplantar la identidad de algunas personas o empresas.
La forma de operar de este troyano comienza cuando un usuario descarga un archivo “RAR,” lo descomprime y ejecuta un programa llamado “Facturas Pagadas al Vencimiento.exe”, posteriormente este empieza a hacer consultas WMI (Windows Management Instrumentation) para recolectar información del sistema y de la red, y así también determinar si se ejecutó en un sistema virtualizado o en una sandbox.
En paralelo a lo anterior, Agent Tesla agrega procesos para evitar ser identificado por los sistemas de detección, y gracias a una serie de subprocesos el programa es capaz de robar:
- Información como credenciales y sesiones de Putty y WinSCP.
- Información de los navegadores web como el Historial, credenciales, cookies, etc.
- Credenciales de servicios FTP.
- Credenciales de buzones de correo electrónico almacenadas en el sistema.
Una vez que el atacante obtiene los datos inicia una conexión a un servidor comprometido para hacer uso de la información y enviarla a través de un correo electrónico en “Yandex”. El uso de dicha cuenta en Yandex disminuye la probabilidad de que sean identificados por sistemas de detección, al tratarse de un servicio reconocido y legítimo.
Al utilizar un método de propagación sencillo y efectivo, los criminales consiguen engañar a los usuarios con facilidad y obtener una elevada tasa de éxito en sus campañas de malspam.
Nivel de riesgo
- [Alto]
Sistemas/tecnologías afectadas:
- Sistemas Operativos Microsoft Windows.
Indicadores de compromiso(IoCs)
A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:
- MD5:
- 947E0738B2CDC6FCF2ED62E8E73282
3C - 097376914669C710B35FE2E009F2AE
F5 - 26B9F9A4D84A0287DFD6EFFADA6EF9
6A - DBADA3C46BEFE8D025594C2B908AA3
C5
- 947E0738B2CDC6FCF2ED62E8E73282
- SHA-1:
- 86F668C6DF1092BAD6AC9CA49A2B3C
37CFCA53A7 - 118296509C23C746FA2C4D08A22075
D9DBD7C4FF - 2F4CF88B44602EFB9BF9AF2FBCD4F7
AF1F874076 - 62126B40A1C2F0B015FB0F0059475F
F051D1846A
- 86F668C6DF1092BAD6AC9CA49A2B3C
- SHA-256:
- 553AB9A45034A443EE5022BC9928AE
6F81B3760BDA11BB7A2FFDD0997310 4157 - 0E47251F04A2AA6ADE04D445924277
14EF8660EB9B2EFCAC8977EAF7BA61 9963 - F7EE9607DD13FB2B0E5A9D35F3A35D
70D373A607DB86E41D6D93C9F79150 713A - FCF9AC1F79FC41AFFF0650CFA6BA65
1D60A1EB88C2EFDE4A36F8AEF85FFB 75DB
- 553AB9A45034A443EE5022BC9928AE
- Dominios:
- dortkim[.]com
- tovisi[.]pt
- iberweb26a[.]ibername[.]com
- Urls:
- hxxp://M54HQH45ytIf7o[.]net
- E-mail:
- hakansengel[@]dortkim[.]com
- mferreira[@]tovisi[.]pt
- barbosabronx[@]yandex[.]com
Medidas de contención
- Evitar abrir enlaces o archivos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
- Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
- Mantener actualizadas las herramientas de antimalware.
- Concientizar a usuarios finales respecto a este tipo de campañas.
Referencias
- https://www.virustotal.com/
gui/file/ 0e47251f04a2aa6ade04d445924277 14ef8660eb9b2efcac8977eaf7ba61 9963/details - https://www.virustotal.com/
gui/file/ f7ee9607dd13fb2b0e5a9d35f3a35d 70d373a607db86e41d6d93c9f79150 713a/details - https://www.virustotal.com/
gui/file/ fcf9ac1f79fc41afff0650cfa6ba65 1d60a1eb88c2efde4a36f8aef85ffb 75db/details