Si repasamos las plantillas de correo usadas por los delincuentes para propagar sus amenazas encontraremos una gran variedad de ella. Sin embargo, amenazas como el infostealer Agent Tesla suele usar una serie de plantillas bien conocidas que incluyen la suplantación de entidades bancarias, empresas de logística o, directamente, aprovechan las credenciales de correo corporativas robadas a otros usuarios para enviar sus correos maliciosos con asuntos como justificantes u órdenes de pago . No obstante, de vez en cuando, los delincuentes se sienten inspirados y prueban nuevos asuntos, como en el caso que vamos a analizar a continuación.
El mail de los “productos estropeados”
Resulta curioso que, para una de las campañas que inaugura la semana en cuanto a propagación de amenazas dirigidas a empresas españolas, los delincuentes hayan utilizado un asunto que hace mención a unos supuestos productos que han llegado en mal estado. Si bien es una descripción bastante vaga y que no menciona que tipo de productos son resulta curioso que no se haya recurrido a otras plantillas de correo ya vistas con anterioridad.
En cualquier caso, la finalidad del correo sigue siendo la misma que todas las campañas protagonizadas por este tipo de malware y que consiste en convencer al usuario para que descargue y ejecute el fichero adjunto que suele venir comprimido. Si nos fijamos en el archivo a la hora de descomprimirlo, observaremos como la extensión real es la de un archivo ejecutable y no la de una imagen JPG como nos quieren hacer creer.
Curiosamente, el archivo provoca un error al intentar ejecutarlo, lo que podría significar que no ha sido creado de forma correcta por los delincuentes. De hecho, antes de recibir el correo que hemos analizado, hemos detectado otro idéntico enviado unas pocas horas antes pero que contiene el fichero adjunto en inglés, con el nombre “Spoiled products png.7z”. Esto podría ser un indicativo de que los delincuentes detrás de esta campaña también estén realizándola o la hayan realizado recientemente en otros países.
En cualquier caso, pese a que el archivo descargado no se ejecute de forma correcta, es posible determinar ante que tipo de descarga nos encontramos revisando de código. Esta amenaza no es otra que el infame Agent Tesla, que sigue siendo una de las amenazas diseñadas para el robo de información más utilizada contra las empresas españolas desde hace meses.
Esta amenaza, junto a otras como Formbook se encuentra entre las más detectadas en España, con continuas campañas de propagación prácticamente todas las semanas. A pesar de que Agent Tesla se intentó vender inicialmente de forma fraudulenta como una herramienta legítima, desde su aparición en 2014 no hemos dejado de ver como todo tipo de delincuentes la utilizan para robar información, especialmente contraseñas almacenadas en aplicaciones de uso cotidiano como clientes de correo, clientes FTP, navegadores o VPN.
Si bien es una amenaza que se suele detectar sin problemas por las soluciones de seguridad, es importante conocer su funcionamiento y saber cuales son sus principales vectores de propagación para estar atentos y evitar caer en la trampa.
Conclusión
Si bien el asunto usado en esta reciente campaña cambia ligeramente los que estamos acostumbrados a ver, no deja de ser un gancho para conseguir llamar la atención de los usuarios que reciban este tipo de correos. Por ese motivo, debemos permanecer alerta e ir con cuidado con emails no solicitados, por mucho que provengan de remitentes de confianza o el asunto nos resulte llamativo.