El 21 de noviembre de 2023, se ha observado una nueva variante del malware Agente Tesla entregada a través de un archivo señuelo con el formato de compresión ZPAQ para recopilar datos de varios clientes de correo electrónico y casi 40 navegadores web.
«ZPAQ es un formato de compresión de archivos que ofrece una mejor relación de compresión y una función de registro en comparación con formatos ampliamente utilizados como ZIP y RAR», dijo la analista de malware de G Data, Anna Lvova, en un análisis del lunes.
«Eso significa que los archivos comprimidos con ZPAQ pueden ser más pequeños, ahorrando espacio de almacenamiento y ancho de banda al transferir archivos. Sin embargo, ZPAQ tiene la mayor desventaja: el soporte de software limitado».
Seguridad Cibernética Aparecido por primera vez en 2014, Agente Tesla es un keylogger y troyano de acceso remoto (RAT) escrito en .NET que se ofrece a otros actores de amenazas como parte de un modelo de malware como servicio (MaaS).
A menudo se utiliza como carga útil de primera etapa, proporcionando acceso remoto a un sistema comprometido y utilizándolo para descargar herramientas de segunda etapa más sofisticadas, como ransomware.
Agente Tesla suele entregarse a través de correos electrónicos de phishing, con campañas recientes aprovechando una vulnerabilidad de corrupción de memoria de seis años en el Editor de Ecuaciones de Microsoft Office (CVE-2017-11882).
Malware Agente Tesla La cadena de ataque más reciente comienza con un correo electrónico que contiene un archivo ZPAQ adjunto que pretende ser un documento PDF; al abrirlo, se extrae un ejecutable .NET inflado en su mayoría con bytes cero para aumentar artificialmente el tamaño de la muestra a 1 GB en un intento de eludir las medidas de seguridad tradicionales.
«La función principal del ejecutable .NET sin archivar es descargar un archivo con extensión .wav y descifrarlo», explicó Lvova. «El uso de extensiones de archivo comúnmente utilizadas disfraza el tráfico como normal, dificultando que las soluciones de seguridad de red detecten y prevengan actividades maliciosas».
Seguridad Cibernética El objetivo final del ataque es infectar el punto final con Agente Tesla, que está ofuscado con .NET Reactor, un software legítimo de protección de código. Las comunicaciones de comando y control (C2) se realizan a través de Telegram.
Este desarrollo es una señal de que los actores de amenazas están experimentando con formatos de archivo no comunes para la entrega de malware, lo que hace necesario que los usuarios estén atentos a correos electrónicos sospechosos y mantengan sus sistemas actualizados.
«El uso del formato de compresión ZPAQ plantea más preguntas que respuestas», dijo Lvova. «Las suposiciones aquí son que los actores de amenazas apuntan a un grupo específico de personas que tienen conocimientos técnicos o utilizan herramientas de archivo menos conocidas, o están probando otras técnicas para propagar malware más rápidamente y eludir el software de seguridad».
Zero-Day se refiere a una vulnerabilidad de seguridad en un software o sistema que es explotada por ciberdelincuentes el mismo día que es descubierta (o incluso antes de que el desarrollador tenga la oportunidad de abordarla). Estas vulnerabilidades son llamadas «Zero-Day» porque los fabricantes del software aún no han tenido ni un día para desarrollar y distribuir un parche de seguridad.
Características Clave:
La gestión efectiva de vulnerabilidades, la implementación de actualizaciones de software y la monitorización constante son estrategias clave para mitigar el riesgo asociado con las amenazas Zero-Day.
El phishing es una forma de fraude en línea que utiliza tácticas engañosas para obtener información confidencial, como contraseñas y datos financieros, haciéndose pasar por entidades confiables. Los atacantes suelen enviar correos electrónicos falsos o mensajes engañosos, simulando ser instituciones legítimas, con el objetivo de engañar a las personas para que revelen información sensible o hagan clic en enlaces maliciosos. El propósito final es el robo de datos o la instalación de malware en el dispositivo de la víctima. La concientización y la precaución son clave para evitar caer en estas trampas cibernéticas.
El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.