Agent Tesla: un ejemplo perfecto de la filosofía «glocal»

Campañas como las de Agent Tesla son una muestra de la evolución que, a lo largo de los años, ha experimentado el phishing. Muchos recordamos cómo eran aquellos primeros mensajes que pretendían hacerse pasar por comunicaciones legítimas de entidades bancarias, administraciones públicas y empresas de todo tipo, con el fin de que cometiéramos el error de introducir nuestras claves de acceso o de descargar y ejecutar el archivo adjunto.

Desde entonces, un tiempo en el que los primeros phishings con destino a usuarios españoles provenían de atacantes extranjeros con muy pocos conocimientos de nuestro idioma y nuestras empresas, hemos llegado a un punto en el que el nivel de cuidado y sofisticación de estos ataques ha crecido de manera exponencial. A día de hoy, campañas como Agent Tesla están tan pulidas que, o bien tienen su origen en el propio país en el que se llevan a cabo, o bien se realiza un importante trabajo de localización y traducción de los mensajes. Un atacante puede tener alcance global, pero sus campañas son locales.

El último ejemplo de ello lo encontramos hoy en Protegerse, la publicación online sobre ciberseguridad del grupo Ontinet, distribuidores en España de las soluciones de seguridad de ESET. Allí encontramos una publicación de Josep Albors, Director de Investigación y Concienciación de ESET España, en la que se alerta de una nueva campaña protagonizada por Agent Tesla, en la que los ciberdelincuentes intentan suplantar la identidad de TIBA, empresa de logística y que muchos usuarios relacionan directamente con el envío y recepción de paquetería.

No es casual que se opte por intentar suplantar a empresas de mensajería en estos tiempos, el coronavirus ha provocado un gran incremento en las compras online, y además muchos usuarios de múltiples los perfiles sociodemográficos están empleándolo por primera vez. Unas circunstancias que facilitan en gran medida que, entre los receptores de estos mensajes, haya algunos usuarios que esperan recibir un envío, ya sea con esta o con otra empresa de logística, y por error caen en el engaño de Agent Tesla.

No hay, en esta campaña, nada especialmente destacable a nivel técnico. El mensaje de correo incluye un adjunto ejecutable con el nombre «Detalles» y, si el usuario lo ejecuta, se instalará en el sistema un binario que procederá al robo de información del usuario, principalmente aquella que se guarda en el navegador web y que puede proporcionar a los operadores de Agent Tesla acceso a las cuentas de servicios online a la que la víctima haya accedido desde el sistema infectado.

Esta es, por tanto, una muestra clara de que los operadores de campañas como las llevadas a cabo con Agent Tesla son conscientes de la importancia de la ingeniería social en los ataques, y ponen cada vez más cuidado en todos los aspectos relacionados con la misma. Una poderosa razón para desconfiar de las comunicaciones que nos extrañan, pero también de aquellas que nos parecen normales.

La entrada Agent Tesla: un ejemplo perfecto de la filosofía «glocal» es original de MuySeguridad. Seguridad informática.