La empresa de Seguridad Informática, ESET, ha lanzado una advertencia a toda Latinoamérica debido a un ataque de spear phishing. Para este ataque se envía un archivo ejecutable camuflado en una imagen jpg, el cual las víctimas ejecutan sin percatarse del riesgo al que se exponen.
El spear phishing es un ataque informático que suplanta la identidad de las empresas para engañar a una víctima en específico.
ESET aclaró que se trata de un ataque de phishing que forma parte de una campaña llamada Agent Tesla. La misma está enfocada a varios países de América Latina; sin embargo, gran parte de los ataques se han registrado en México (45%), Perú (15%), Colombia (14%), Ecuador (12%) y Chile (5%).
¿Cómo opera este ataque de phishing en Latinoamérica?
El ataque se produce a través de una empresa de logística, que le informa a la víctima que ha detectado problemas en la dirección de entrega de un paquete.
Con el fin de solucionar el malentendido, le piden a la víctima que revisen la información adjunta en el archivo .jpg para verificar la información. Apenas se descomprime el archivo, la campaña de phishing descarga un segundo archivo que es el encargado de contaminar el equipo del usuario.
Gracias a esta infección, el atacante tiene vía libre para realizar capturas de pantalla y registrar pulsaciones de teclado. Además, lo cual es aún más peligroso, tiene la posibilidad de obtener credenciales guardadas en navegadores web o programas. Todo esto sin mostrar el más mínimo indicio de residir en el equipo infectado.
¿Cómo detectó ESET esta incidencia en Latinoamérica?
ESET se percató de esta amenaza de seguridad luego de recibir múltiples actividades sospechosas en la región, principalmente en equipos que utilizaban Microsoft Windows. Su vector de ataque incluía una infección de código malicioso del tipo downloaders, que comienza el proceso de infiltración en el equipo para luego descargar la amenaza principal Agent Tesla.
Luego de una investigación, se percataron que el principal foco de ataque de phishing correspondía a la región de Latinoamérica. Para ello utilizan un commodity malware, que es un tipo de malware comercializado en la dark web.
El ataque de phishing Agent Tesla no es el primero de la región. Se suma a una larga lista de ataques similares previos como Operación Absoluta en Colombia, Operación Spalax, Operación Bandidos, Operación Discordia y Pulpo Rojo.
Un análisis más profundo del historial de incidencias reveló que se utiliza, principalmente, troyanos de acceso remoto conocidos. Tales como Bandook, njRAT, AsyncRAT o Agent Tesla.
¿Cómo evitar ser blanco de este ataque phishing? Los expertos recomiendan verificar prudentemente la información que llega a través de correos electrónicos. Es importante no abrir mensajes de desconocidos, mostrando una actitud totalmente defensiva.
