El envío de correos adjuntando supuestas facturas, comprobantes de pago o presupuestos está a la orden del día por parte de los ciberdelincuentes, para tratar de engañar a los receptores de estos emails y convencerlos para que abran los ficheros adjuntos o pulsen sobre los enlaces incluidos en el cuerpo del mensaje.
Una factura peligrosa
Las campañas de envíos de este tipo de emails maliciosos saben a qué buzones de correo dirigirse, ya que departamentos como el de administración pueden recibir decenas de correos legítimos similares a lo largo del día. Si además este envío se realiza un lunes por la mañana, es posible que el mensaje pase desapercibido como uno más y los empleados que lo abran no se den cuenta del error hasta que sea demasiado tarde o la solución de seguridad instalada lance el aviso de que ha detectado una amenaza.
Además, desde hace ya algún tiempo este tipo de mensajes suelen enviarse desde cuentas de correo legítimas, pertenecientes a otras empresas que han sido previamente comprometidas por los atacantes. De esta forma se evitan que los filtros antispam bloqueen estas direcciones, ya que se trata de envíos realizados desde una cuenta corporativa real y que, normalmente, suelen tener buena reputación.
En el ejemplo que analizamos hoy vemos como los delincuentes son bastante escuetos en lo que respecta al asunto y al cuerpo del mensaje, yendo directos al grano e indicando al destinatario de este correo la necesidad de revisar el archivo adjunto para proceder a un supuesto pago.
Sin embargo, ya sabemos por experiencia que este fichero comprimido adjunto suele contener algún tipo de amenaza, y aunque los atacantes pueden tratar de camuflarla en algún tipo de documento ofimático, en esta ocasión han optado por utilizar directamente un fichero ejecutable.
A pesar de esto, no serán pocos los usuarios que, independientemente del tipo de fichero, tratarán de ejecutarlo en busca de la mencionada factura. Esto lo saben muy bien los delincuentes y, por ese motivo, no han querido complicarse demasiado la vida en esta ocasión.
Descarga del componente malicioso
Al revisar este fichero ejecutable de forma dinámica vemos alguna información interesante, como por ejemplo que trata de conectarse a Google Drive para descargar un nuevo componente que puede tratarse del payload o componente malicioso de esta amenaza.
Nos encontraríamos, pues, con un primer componente que sería el fichero ejecutable dentro del archivo comprimido enviado en el correo, responsable de realizar la primera fase del ataque y descargar el malware propiamente dicho. En el análisis realizado parece que estaríamos de nuevo ante GuLoader, un downloader o descargador que es usado por numerosos delincuentes para descargar malware especializado en el robo de información como Agent Tesla o Formbook.
Al revisar la URL de Google Drive a la cual se apunta al ejecutar el fichero ejecutable, vemos como se descarga un binario en el equipo de la víctima. Esta descarga se realiza de forma transparente para el usuario, pero en la siguiente imagen la hemos forzado para que se observe la dirección desde la cual se descarga y el nombre y tipo del fichero usado por los delincuentes.
Nos encontraríamos ante un fichero cifrado y que, muy probablemente, contendría una variante de Agent Tesla en su interior. Esta amenaza está especializada en robar credenciales almacenadas en varias aplicaciones de uso común en empresas como navegadores de Internet, clientes de correo, clientes VPN o FPTs. Una vez los delincuentes han conseguido estas credenciales son posteriormente usadas para acceder de forma remota a la red corporativa, robar información confidencial, cifrarla o usar sus cuentas de correo para seguir propagándose en otras empresas.
En este caso, la propagación de esta nueva campaña de correos maliciosos no ha sido muy elevada, aunque se ha centrado principalmente en España, tal y como podemos observar en la telemetría de ESET. Las soluciones detectan el fichero ejecutable contenido en el archivo comprimido adjunto como el troyano NSIS/Injector.AQY, mientras que el payload se trata muy probablemente del troyano MSIL/Spy.AgentTesla.C.
Conclusión
Siendo el correo electrónico un vector de ataque sencillo de usar por los delincuentes y que aún cuenta con un notable porcentaje de éxito, no es de extrañar que este tipo de campañas se vengan produciendo, con ligeras variaciones, desde hace años. Por ese motivo es fundamental contar con personal capacitado en seguridad y con soluciones que sean capaces de detectar estas amenazas antes de que lleguen a infectar los sistemas de una empresa.