{"id":16387,"date":"2023-04-24T00:02:02","date_gmt":"2023-04-24T04:02:02","guid":{"rendered":"https:\/\/www.notaoficial.com\/s\/?p=16387"},"modified":"2023-04-24T00:02:02","modified_gmt":"2023-04-24T04:02:02","slug":"eset-identifico-una-campana","status":"publish","type":"post","link":"https:\/\/www.notaoficial.com\/s\/2023\/04\/24\/eset-identifico-una-campana\/","title":{"rendered":"ESET identific\u00f3 una campa\u00f1a"},"content":{"rendered":"

Por Siri Evjemo-Nysveen<\/p>\n

El equipo de investigaci\u00f3n de ESET Latinoam\u00e9rica<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, descubri\u00f3 en marzo de 2023 una campa\u00f1a de malware que apuntaba a varios pa\u00edses de Am\u00e9rica Latina y que se distribu\u00eda a trav\u00e9s de correos electr\u00f3nicos. El objetivo final era infectar a las v\u00edctimas con un malware que permite a los atacantes realizar distintas acciones en el equipo infectado, desde robar contrase\u00f1as hasta realizar capturas de pantalla y luego enviar esta informaci\u00f3n a los servidores de los cibercriminales.<\/p>\n

La campa\u00f1a comienza con el env\u00edo de correos de spearphishing que contienen un archivo comprimido adjunto que no requiere contrase\u00f1a. ESET identific\u00f3 un ejemplo de los correos utilizados en esta campa\u00f1a donde el asunto hace referencia al env\u00edo de un paquete y suplanta la identidad de una empresa muy conocida dedicada a la entrega de mensajer\u00eda y paqueter\u00eda.<\/p>\n

\u201cEs bastante llamativa la informalidad con la que est\u00e1 redactado el correo, lo cual podr\u00eda despertar alguna sospecha. Por otro lado, es importante se\u00f1alar que el archivo adjunto tiene doble extensi\u00f3n, .jpg.xxe. Esto tambi\u00e9n deber\u00eda ser interpretado como otra se\u00f1al de alerta, ya que si una empresa quiere enviar un archivo adjunto no habr\u00eda necesidad de poner una doble extensi\u00f3n como se ve en este caso.<\/i> El objetivo de todo esto es confundir a quien recibe el correo para que crea que se trata de una imagen (.jpeg) y no un ejecutable (.exe).\u201d, <\/i>resalta Fernando Tavella, Malware Researcher de ESET Latinoam\u00e9rica.<\/p>\n

Por Siri Evjemo-Nysveen<\/p>\n

El proceso de infecci\u00f3n comienza al descargar el archivo y descomprimirlo. La v\u00edctima encontrar\u00e1 un archivo ejecutable que al abrirlo comenzar\u00e1 un proceso de infecci\u00f3n de varias etapas que culmina con la descarga y ejecuci\u00f3n del troyano AgentTesla<\/a> en el equipo de la v\u00edctima.<\/p>\n

M\u00e9xico fue el pa\u00eds en el que se concentr\u00f3 la mayor actividad de esta campa\u00f1a con el 45% de las detecciones, seguido por Per\u00fa (15%), Colombia (14%), Ecuador (12%) y Chile (5%), adem\u00e1s de otros pa\u00edses de la regi\u00f3n. \u00a0Desde ESET mencionan que si bien es muy amplio el perfil de los blancos seleccionados por los cibercriminales detr\u00e1s de esta campa\u00f1a, se detectaron empresas de diferentes sectores, como el agropecuario o dedicadas a la distribuci\u00f3n de insumos m\u00e9dicos, fueron apuntados en estos ataques.<\/p>\n

AgentTesla, es un troyano que ofrece la posibilidad de recolectar distintos tipos de informaci\u00f3n del equipo infectado y enviarla a un servidor controlado por los atacantes. Es utilizado por diferentes grupos cibercriminales para espiar y robar informaci\u00f3n personal de las v\u00edctimas. Seg\u00fan ESET, algunas de las caracter\u00edsticas m\u00e1s importantes de AgentTesla son:<\/p>\n