Nueva Variante del Malware Agente Tesla Utilizando Compresión ZPAQ en Ataques de Correo Electrónico

XPoint
Publicado el 21/11/2023

El 21 de noviembre de 2023, se ha observado una nueva variante del malware Agente Tesla entregada a través de un archivo señuelo con el formato de compresión ZPAQ para recopilar datos de varios clientes de correo electrónico y casi 40 navegadores web.

«ZPAQ es un formato de compresión de archivos que ofrece una mejor relación de compresión y una función de registro en comparación con formatos ampliamente utilizados como ZIP y RAR», dijo la analista de malware de G Data, Anna Lvova, en un análisis del lunes.

«Eso significa que los archivos comprimidos con ZPAQ pueden ser más pequeños, ahorrando espacio de almacenamiento y ancho de banda al transferir archivos. Sin embargo, ZPAQ tiene la mayor desventaja: el soporte de software limitado».

Seguridad Cibernética Aparecido por primera vez en 2014, Agente Tesla es un keylogger y troyano de acceso remoto (RAT) escrito en .NET que se ofrece a otros actores de amenazas como parte de un modelo de malware como servicio (MaaS).

A menudo se utiliza como carga útil de primera etapa, proporcionando acceso remoto a un sistema comprometido y utilizándolo para descargar herramientas de segunda etapa más sofisticadas, como ransomware.

Agente Tesla suele entregarse a través de correos electrónicos de phishing, con campañas recientes aprovechando una vulnerabilidad de corrupción de memoria de seis años en el Editor de Ecuaciones de Microsoft Office (CVE-2017-11882).

Malware Agente Tesla La cadena de ataque más reciente comienza con un correo electrónico que contiene un archivo ZPAQ adjunto que pretende ser un documento PDF; al abrirlo, se extrae un ejecutable .NET inflado en su mayoría con bytes cero para aumentar artificialmente el tamaño de la muestra a 1 GB en un intento de eludir las medidas de seguridad tradicionales.

«La función principal del ejecutable .NET sin archivar es descargar un archivo con extensión .wav y descifrarlo», explicó Lvova. «El uso de extensiones de archivo comúnmente utilizadas disfraza el tráfico como normal, dificultando que las soluciones de seguridad de red detecten y prevengan actividades maliciosas».

Seguridad Cibernética El objetivo final del ataque es infectar el punto final con Agente Tesla, que está ofuscado con .NET Reactor, un software legítimo de protección de código. Las comunicaciones de comando y control (C2) se realizan a través de Telegram.

Este desarrollo es una señal de que los actores de amenazas están experimentando con formatos de archivo no comunes para la entrega de malware, lo que hace necesario que los usuarios estén atentos a correos electrónicos sospechosos y mantengan sus sistemas actualizados.

«El uso del formato de compresión ZPAQ plantea más preguntas que respuestas», dijo Lvova. «Las suposiciones aquí son que los actores de amenazas apuntan a un grupo específico de personas que tienen conocimientos técnicos o utilizan herramientas de archivo menos conocidas, o están probando otras técnicas para propagar malware más rápidamente y eludir el software de seguridad».

Preguntas frecuentes

¿Qué es un Zero-Day?

+

Zero-Day se refiere a una vulnerabilidad de seguridad en un software o sistema que es explotada por ciberdelincuentes el mismo día que es descubierta (o incluso antes de que el desarrollador tenga la oportunidad de abordarla). Estas vulnerabilidades son llamadas «Zero-Day» porque los fabricantes del software aún no han tenido ni un día para desarrollar y distribuir un parche de seguridad.

Características Clave:

  1. Explotación Rápida: Los atacantes aprovechan la vulnerabilidad antes de que el desarrollador pueda proporcionar una solución.
  2. Riesgo Elevado: Dado que no hay parche disponible, las organizaciones son vulnerables a ataques.
  3. Descubrimiento y Divulgación: A menudo, estas vulnerabilidades son descubiertas por investigadores de seguridad y, en algunos casos, son explotadas sin previo aviso.
  4. Importancia en Ciberseguridad: Las amenazas Zero-Day resaltan la necesidad de prácticas sólidas de gestión de vulnerabilidades y destacan la importancia de mantener actualizado el software para mitigar riesgos.
  5. Utilización en Ataques Sofisticados: Son comúnmente utilizadas en ataques avanzados y dirigidos, ya que ofrecen a los atacantes una ventana de oportunidad antes de que se implementen defensas.

La gestión efectiva de vulnerabilidades, la implementación de actualizaciones de software y la monitorización constante son estrategias clave para mitigar el riesgo asociado con las amenazas Zero-Day.

¿Quién es el Phishing?

+

El phishing es una forma de fraude en línea que utiliza tácticas engañosas para obtener información confidencial, como contraseñas y datos financieros, haciéndose pasar por entidades confiables. Los atacantes suelen enviar correos electrónicos falsos o mensajes engañosos, simulando ser instituciones legítimas, con el objetivo de engañar a las personas para que revelen información sensible o hagan clic en enlaces maliciosos. El propósito final es el robo de datos o la instalación de malware en el dispositivo de la víctima. La concientización y la precaución son clave para evitar caer en estas trampas cibernéticas.

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos