Autores
Por lo general, los envíos masivos de programas maliciosos se hacen mediante mensajes de apariencia primitiva y homogénea: todo el contenido cabe en unas pocas frases, en las que se pide al usuario que descargue con urgencia un archivo con facturas o multas pendientes. Muchos de ellos carecen de firmas o logotipos, y el texto suele tener errores ortográficos o de redacción. No importa si se dirigen a usuarios individuales o a grandes empresas, no habrá grandes diferencias.
Ejemplo de mensaje de una lista de correo de difusión masiva de malware.
Sin embargo, desde hace poco la situación está cambiando: los atacantes han empezado a utilizar técnicas propias de los ataques selectivos en los envíos masivos. En particular, envían cartas haciéndose pasar por empresas existentes, copiando el estilo del mensaje y la firma del remitente.
Mensaje de un “cliente” con una sorpresa
Hace poco descubrimos un mensaje interesante, donde un supuesto cliente potencial de Malasia, en un inglés deficiente, pide al destinatario que lea las exigencias de la empresa cliente y le remita los documentos necesarios. El diseño general del mensaje sigue las normas corporativas de correspondencia: tiene un logotipo de una empresa real y una firma que incluye información sobre el remitente. A primera vista, la solicitud parece legítima y los errores lingüísticos pueden atribuirse a que el representante de la empresa cliente no es un hablante nativo de inglés.
Correo electrónico con un archivo adjunto malicioso, supuestamente procedente de un cliente potencial de Malasia
Lo único que despierta sospechas es la dirección del remitente: <newsletter@trade***.com>. El nombre “newsletter” se suele utilizar para los boletines de noticias, no para la correspondencia de compras. Además, el dominio del remitente no coincide con el nombre de la empresa que aparece en el logotipo.
En otro mensaje, un supuesto cliente de Bulgaria quiere confirmar con el vendedor si el producto está en stock y discutir los detalles de la venta. Como en el anterior mensaje, se adjunta la lista de elementos de interés. Aquí, sólo causa dudas la dirección del remitente, que no está en un dominio búlgaro sino en uno griego, y que no tiene ninguna relación con la empresa por la que los atacantes se quieren hacer pasar.
Correo electrónico con un archivo adjunto malicioso, supuestamente procedente de un posible cliente de Bulgaria
Ambos mensajes usan un script de correo similar y su contenido no se parece al que se genera de forma automática. Al examinar los encabezados de los correos electrónicos, comprobamos que tienen la misma estructura: la secuencia de encabezados, el formato del identificador de mensajes MSGID y el cliente de correo son los mismos. Además, los mensajes electrónicos proceden de un conjunto limitado de direcciones IP. Esto significa que forman parte de una gran campaña de correo electrónico malicioso.
Comparación de los encabezados de dos correos electrónicos maliciosos
A diferencia de las direcciones IP y los encabezados, el contenido de los correos electrónicos es variable. Los atacantes envían un archivo malicioso en nombre de muchas empresas diferentes y el texto de la “solicitud” a la víctima también cambia. Es decir, los autores del envío masivo prestaron atención a la preparación de los mensajes, algo poco habitual en este tipo de campañas masivas.
Estadística
Entre abril y agosto, nuestras soluciones detectaron 739 749 mensajes relacionados con esta campaña. Los envíos alcanzaron su punto máximo en junio, cuando registramos 194 100 mensajes, y luego bajaron: identificamos 178 510 mensajes en julio y 104 661 en agosto.
Tendencias en el número de mensajes electrónicos maliciosos, abril-agosto de 2022 (descargar)
Carga útil: malware Agensla (Agent Tesla)
Al analizar el contenido de los archivos distribuidos en los mensajes, descubrimos que contenían uno de dos archivos únicos pertenecientes a la misma familia. Se trata del difundido malware Agent Tesla, escrito en .NET y conocido desde 2014. Su objetivo principal es recopilar las contraseñas guardadas en los navegadores y otras aplicaciones y enviarlas al atacante. Lo más frecuente es que el malware envíe los datos por correo electrónico, pero también hay versiones que los envían a un chat privado en Telegram, a un sitio web creado por el atacante o a un servidor FTP. En este envío masivo se distribuye una de las últimas versiones de Agent Tesla, que es capaz de extraer datos de las siguientes aplicaciones:
- Navegadores: Chrome, Edge, Firefox, Opera, 360 Browser, 7Star, Amigo, Brave, CentBrowser, Chedot, Chromium, Citrio, Cốc Cốc, Comodo Dragon, CoolNovo, Coowon, Elements Browser, Epic Privacy, Iridium Browser, Kometa, Liebao Browser, Orbitum, QIP Surf, Sleipnir 6, Sputnik, Torch Browser, Uran, Vivaldi, Yandex.Browser, QQ Browser, Cyberfox, IceDragon, Pale Moon, SeaMonkey, Waterfox, IceCat y K-Meleon.
- Clientes de correo: Becky!, Opera Mail, Foxmail, Thunderbird, Claws, Outlook, The Bat!, eM Client, Mailbird, IncrediMail, Postbox y Pocomail
- Clientes FTP/SCP: WinSCP, WS_FTP, FTPGetter, SmartFTP, FTP Navigator y Core FTP
- Bases de datos: MySQL Workbench
- Clientes de administración remota: RealVNC, TightVNC, TigerVNC, UltraVNC, Windows RDP y cFTP
- VPN: NordVPN y OpenVPN
- Mensajeros: Psi/Psi+ y Trillian
Agent Tesla también es capaz de realizar capturas de pantalla, interceptar el portapapeles y grabar las pulsaciones de las teclas.
Geografía de los ataques de Agent Tesla
Agent Tesla está atacando a usuarios de todo el mundo. De mayo a agosto de 2022, vimos que este malware estaba más activo en Europa, Asia y América Latina. El mayor número de usuarios afectados (20 941) se encontraba en México. En segundo lugar se encuentra España, donde detectamos intentos de infección en los dispositivos de 18 090 usuarios. En tercer lugar está Alemania, con 14 880 usuarios afectados.
TOP 10 de países y territorios por número de usuarios atacados:
| País/territorio | Número de usuarios atacados |
| México | 20 941 |
| España | 18 090 |
| Alemania | 14 880 |
| Turquía | 13 326 |
| Rusia | 12 739 |
| Italia | 12 480 |
| Malasia | 10 092 |
| Vietnam | 9 760 |
| Brasil | 8 851 |
| Portugal | 8 739 |
Conclusión:
El envío que detectamos es una clara prueba de que los atacantes son capaces de preparar con esmero incluso los ataques masivos. Los mensajes que analizamos son buenas imitaciones de propuestas comerciales de empresas reales, que se desenmascaran solo porque la dirección del remitente no tiene nada que ver con la empresa real. Es probable que estos correos electrónicos hayan sido redactados y enviados manualmente. Nuestras soluciones detectaron más de cientos de miles de correos electrónicos de este tipo al mes, dirigidos a organizaciones de todo el mundo.
Como carga útil, los atacantes envían malware capaz de robar credenciales de una impresionante lista de aplicaciones. Más adelante, esta información podría ponerse a la venta en foros de la web oscura y utilizarse en ataques selectivos contra organizaciones. Dicho esto, vale la pena señalar que Agent Tesla es un stealer conocido, y que la mayoría de las soluciones de seguridad lo detectan. Los productos de Kaspersky le asignan el veredicto Trojan-PSW.MSIL.Agensla.
Indicadores de compromiso
MD5 de los archivos adjuntos:
ddc607bb993b94c543c63808bebf682a
862adb87b0b894d450f8914a353e3e9c
a1ae8b0d794af648908e0345204ea192
9d0364e1f625edb286b0d5541bb15357
eee70de3ac0dc902b99ed33408e646c9
MD5 del archivo ejecutable e información sobre las cuentas de correo electrónico de los atacantes, desde las cuales y a las cuales se envían los datos robados por la muestra:
64011a7871abb873c822b8b99082e8ab
Mail from: info(a)essentialapparatus.co.ke
Password: Info@2018
Mail to: sales1.nuozhongsteel(a)gmail.com
Mail server: mail.essentialapparatus.co.ke:587
b012cb8cfee0062632817d12d43f98b4
Mail from: quality(a)keeprojects.in
Password: quality#@!
Mail to: quality(a)keeprojects.in
Mail server: mail.keeprojects.in:587
Autores
De los mismos autores
En la misma categoría
Envíos masivos con elementos de spam selectivo