El robo de contraseñas es, a día de hoy, una de las amenazas más recurrentes en nuestro país, a tenor de los ataques realizados por los ciberdelincuentes en los últimos meses. Estos no cesan en sus intentos por hacerse con las claves con las que puedan entrar y usar a su antojo las cuentas o perfiles de distintos servicios. Así lo señalan desde la compañía de seguridad ESET.
Los agentes de amenazas son conscientes de que para conseguir contraseñas el phishing dirigido funciona bastante bien. Sobre todo, si para ello se usa el nombre de la empresa donde trabaja la víctima.
La firma se ha topado con emails donde los hackers tratan de engañar a un usuario corporativo haciéndose pasar por el equipo de soporte técnico de su organización. ¿La excusa? Pedirle el cambio de contraseña de su correo electrónico por temas de mantenimiento.
Obviamente, solo se trata de una estratagema de los cibercriminales para lograr las claves. Al pulsar sobre el enlace proporcionado, se redirige al usuario a una web donde se solicita la contraseña de la cuenta de correo.
Parece una técnica simple, pero lo cierto es que se lleva a cabo recurrentemente para obtener credenciales de correos corporativos de empresas de todos los tamaños. Una vez comprometidas, están en manos de los hackers para usarlas a posteriori para lanzar otros ataques desde direcciones legítimas, aprovechando que no están bloqueadas por los filtros antispam.
Crece el uso del malware Agent Tesla
Las amenazas denominadas 'infostealer' o ladrones de información son unas viejas conocidas, pero según ESET su uso se ha identificado en los últimos años. En particular ha habido un crecimiento desde principios de año. Todas las semanas han detectado varios casos de malware que responden a esta categoría, como Agent Tesla.
A la hora de dirigirse a las empresas españolas, los delincuentes suelen emplear una técnica que les ha proporcionado buenos resultados en los últimos tiempos. El envío de un correo electrónico con una supuesta factura, presupuesto o aviso de pago es algo que ya hemos visto en numerosas ocasiones, y por la recurrencia en su utilización hemos de interpretar que les da buenos resultados a los delincuentes.
Estos emails se acompañan de una imagen que simula ser una ser una vista preliminar de un documento PDF en el que vendría la supuesta nota de aviso mencionada en el asunto.
Nada más lejos de la realidad, puesto que esta imagen contiene realmente un enlace a un archivo alojado en el servicio MediaFire, usado frecuentemente por los delincuentes para almacenar sus amenazas y evitar, al menos temporalmente, que el enlace sea catalogado automáticamente como malicioso.
Cuando se descarga el fichero, se ve que es un archivo comprimido en lugar de un documento PDF, conteniendo en realidad un fichero ejecutable. Este último sería el que inicia la cadena de infección que deriva en la ejecución del malware Agent Tesla.
Esta familia de malware obtiene las credenciales que se almacenan en navegadores, clientes de correo, clientes FTP o VPNs, entre otras, y se las envía a los delincuentes.