Se ha descubierto una nueva campaña de phishing que emplea un cargador de malware para desplegar Agente Tesla, un keylogger y un ladron de información. Según informes de Trustwave SpiderLabs, el ataque utiliza un correo electrónico de phishing disfrazado como notificación de pago bancario para persuadir a los destinatarios a abrir un archivo adjunto. El archivo en cuestión actúa como un malware cargador que desencadena la secuencia de infección y despliega Agente Tesla en el host comprometido. Los investigadores también observaron que el cargador posee habilidades para evadir las defensas antivirus y muchas patrones de ofuscación para evitar la detección. La carga útil se recuperó utilizando URLs y agentes de usuario específicos que aprovechan los proxy para obstruir el tráfico. El cargador en sí está escrito en .NET y se diseñó para evitar la Interfaz de Escaneo de Malware de Antimalware de Windows (AMSI). La última fase consiste en la decodificación y ejecución de Agente Tesla en memoria, permitiendo a los actores de amenazas filtrar datos sensibles a través de SMTP. La táctica de incrustar malware en archivos aparentemente benignos se utiliza comúnmente para engañar a las víctimas desprevenidas.
Es importante destacar que este hallazgo se produce después de que se descubriera otra actividad de phishing realizada por el grupo de ciberdelincuentes TA544. Usando archivos PDF disfrazados como facturas legales, TA544 propagó WikiLoader y estableció conexiones con servidores de control y comando (C2) que abarcaban casi exclusivamente sitios de WordPress pirateados. TA544 también utilizó una falla de omisión de seguridad de Windows rastreada como CVE-2023-36025 en noviembre de 2023 para distribuir el RAT de Remcos. Además, se ha observado un aumento en el uso del kit de phishing Tycoon, utilizado para atacar a los usuarios de Microsoft 365 con páginas de inicio de sesión falsas para capturar sus credenciales, cookies de sesión y códigos de autenticación de dos factores (2FA). Tycoon incorpora extensos métodos de filtrado de tráfico para frustrar la actividad de bots y los intentos de análisis, lo que requiere que los visitantes completen un desafío de Turnstile de Cloudflare antes de redirigirlos a una página de captura de credenciales. El kit de phishing también comparte similitudes operativas y de nivel de diseño con el kit de phishing Dadsec OTT. En última instancia, la eficacia de estos ataques subraya la necesidad de una mayor educación en seguridad para evitar el phishing y el malware del tipo Agente Tesla.
Vía The Hacker News
