El phishing’ es una modalidad de ataque informático que consiste en la suplantación de identidad de empresas, organizaciones y otro tipo de entidades para llamar la atención de una persona o grupo de personas en específico. En otras palabras, es una estrategia de ataque dirigido.
Recientemente, la empresa de seguridad informática ESET informó sobre una campaña llamada Agent Tesla que tiene este método como principal vector de ataque. La compañía alerta de que la mira de los cibercriminales está sobre varios países de América Latina, pues el grueso de esta actividad se ha detectado en México(45 %), Perú (15 %), Colombia (14 %), Ecuador (12 %) y Chile (5 %).
Se encontró que en la campaña los cibercriminales utilizaron el nombre e identidad gráfica de una reconocida empresa de logística, en donde se le informa que se ha detectado inconsistencias en la dirección de entrega de un paquete. Para resolver el problema, se invita a la víctima a revisar un archivo adjunto y verificar la información.
El archivo en cuestión es uno que tiene una terminación en .jpg.xxe, es decir, un archivo ejecutable que se disfraza como una imagen formato jpg. Las víctimas, pensando que se trata de un archivo inofensivo lo abren, sin tener la menor idea de lo que se viene tras ese clic.
Luego de descomprimir el archivo, lo que hace el ejecutable es que descarga y ejecuta un segundo archivo, que es el que recibe el nombre de Agent Tesla, el cual es el que se encarga de infectar el equipo de la víctima.
“Si bien es muy amplio el perfil de los blancos seleccionados por los cibercriminales detrás de esta campaña, se detectaron empresas de diferentes sectores, como el agropecuario o dedicadas a la distribución de insumos médicos, fueron apuntados en estos ataques.
AgentTesla, es un troyano que ofrece la posibilidad de recolectar distintos tipos de información del equipo infectado y enviarla a un servidor controlado por los atacantes”, detalló la empresa de ciberseguridad.
Dentro del abanico de posibilidades a las que tiene acceso el atacante tras la infección del equipo, resalta el realizar capturas de pantalla, registrar pulsaciones de teclado, obtener las credenciales guardadas en distintos navegadores web o programas instalados, obtener información de la máquina de la víctima como el tipo de sistema operativo, CPU y nombre de usuario, además de persistir de manera indefinida en el equipo infectado.
No es la primera vez que esta y otras firmas de ciberseguridad encuentran ataques similares. Las recomendaciones apuntan a verificar bien la información que llega en correos electrónicos, no abrir mensajes de desconocidos, verificar la dirección de los remitentes y, en suma, mantener una actitud a la defensiva, pues el incremento de este tipo de ataques muestra que lo susceptibles que pueden ser muchos a morder este tipo de anzuelos.
notiveraz