Resulta curioso que, para una de las campañas que inaugura la semana en cuanto a propagación de amenazas dirigidas a empresas españolas, los delincuentes hayan utilizado un asunto que hace mención a unos supuestos productos que han llegado en mal estado. Si bien es una descripción bastante vaga y que no menciona que tipo de productos son resulta curioso que no se haya recurrido a otras plantillas de correo ya vistas con anterioridad.
En cualquier caso, la finalidad del correo sigue siendo la misma que todas las campañas protagonizadas por este tipo de malware y que consiste en convencer al usuario para que descargue y ejecute el fichero adjunto que suele venir comprimido. Si nos fijamos en el archivo a la hora de descomprimirlo, observaremos como la extensión real es la de un archivo ejecutable y no la de una imagen JPG como nos quieren hacer creer.
Curiosamente, el archivo provoca un error al intentar ejecutarlo, lo que podría significar que no ha sido creado de forma correcta por los delincuentes. De hecho, antes de recibir el correo que hemos analizado, hemos detectado otro idéntico enviado unas pocas horas antes pero que contiene el fichero adjunto en inglés, con el nombre “Spoiled products png.7z”. Esto podría ser un indicativo de que los delincuentes detrás de esta campaña también estén realizándola o la hayan realizado recientemente en otros países.
En cualquier caso, pese a que el archivo descargado no se ejecute de forma correcta, es posible determinar ante qué tipo de descarga nos encontramos revisando el código. Esta amenaza no es otra que el infame Agent Tesla, que sigue siendo una de las amenazas diseñadas para el robo de información más utilizada contra las empresas españolas desde hace meses.
Esta amenaza, junto a otras como Formbook se encuentra entre las más detectadas en España, con continuas campañas de propagación prácticamente todas las semanas. A pesar de que Agent Tesla se intentó vender inicialmente de forma fraudulenta como una herramienta legítima, desde su aparición en 2014 no hemos dejado de ver como todo tipo de delincuentes la utilizan para robar información, especialmente contraseñas almacenadas en aplicaciones de uso cotidiano como clientes de correo, clientes FTP, navegadores o VPN.
Si bien es una amenaza que se suele detectar sin problemas por las soluciones de seguridad, es importante conocer su funcionamiento y saber cuales son sus principales vectores de propagación para estar atentos y evitar caer en la trampa.
