Los investigadores de la empresa de seguridad ESET Latinoamérica, descubrieron en marzo del presente año una campaña de malware que apuntaba a varios países de América Latina que intentaba distribuir un troyano de acceso remoto (mejor conocido como RAT por sus siglas en inglés) a través de correos electrónicos especialmente dirigidos.
En algunos correos se puede observar que los ciberdelincuentes suplantaron la identidad de una empresa mundialmente conocida dedicada al envío de mensajería y paquetería.
«Operación Guinea Pig» es el nombre que se le dio a esta campaña, cuyo objetivo final era infectar a las víctimas con el malware AgentTesla, este RAT permite a los atacantes realizar distintas acciones en el equipo infectado, desde robar contraseñas hasta realizar capturas de pantalla y luego enviar esta información a los servidores de los cibercriminales.
México fue el país en el que se concentro la mayor actividad de esta campaña con el 45% de las detecciones, seguido por Perú con el 15%, Colombia con el 14%, Ecuador con el 12% y por último Chile con el 5%.
Si bien es muy amplio el perfil de los blancos seleccionados por los cibercriminales detrás de esta campaña, se detecto que empresas de diferentes sectores como el agropecuario o dedicadas a la distribución de insumos médicos, fueron también el blanco en estos ataques.
El hallazgo de esta campaña fue gracias a que se registró una actividad importante de una amenaza detectada por las soluciones de seguridad de ESET como PowerShell/TrojanDownloader.Agent.GNZ que afecta principalmente a Microsoft Windows, se trata de un código malicioso del tipo downloader que se encarga de comenzar con el proceso de infección del equipo y que luego deriva en la descarga de la amenaza principal: AgentTesla.
Después de ser analizado el malware se descubrió que los operadores detrás de esta campañaestán realizando pruebas y modificaciones sobre sus códigos maliciosos para evitar ser detectados por las distintas soluciones de seguridad.
Operación Guinea Pig es una nueva campaña de malware en la que grupos criminales apuntan a países de América Latina utilizando lo que se conoce como commodity malware, que es un tipo de malware que suele ser comercializado en mercados clandestinos de la dark web o incluso disponible para su descarga gratuita en repositorios y que es utilizado por distintos grupos criminales para realizar campañas a lo largo de todo el mundo.
En los últimos años los investigadores de ESET descubrieron y analizaron varias campañas apuntando a países de la región en las que grupos criminales utilizaron este tipo de malware con fines de espionaje, esto para atacar a empresas y organizaciones gubernamentales de diferentes países. Un ejemplo, es el caso de Operación Absoluta, donde cibercriminales apuntaron a blancos de alto perfil de Colombia para la distribución del malware AsyncRAT, así como Operación Spalax, Operación Bandidos, Operación Discordia y Operación Pulpo Rojo; todas estas campañas apuntaron principalmente a países de América Latina y utilizaron troyanos de acceso remoto conocidos como: Bandook, njRAT, AsyncRAT o AgentTesla.
Imágen 1.
Cantidad de detecciones en LATAM de PowerShell/TrojanDownloader.GNZ
Proceso de Infección.
En la imagen que se muestra acontinuación (Imagen 2) podemos observar cómo es el proceso de infección. Este comienza con la recepción de un correo electrónico que contiene un archivo adjunto comprimido, al descargar elarchivo y descomprimirlo la víctima encontrará un archivo ejecutable, que al abrirlo comenzará un proceso de infección de varias etapas que culmina con la descarga y ejecución del troyano AgentTesla en el equipo de la víctima.
Imagen 2.
Proceso de infección de Operación Guinea Pig.
AgentTesla es un troyano que ofrece bajo el modelo de Malware-as-a-Service enmercados clandestinos y que es muy utilizado por diferentes actores civercriminales a nivel global. Este malware ofrece la posibilidad de recolectar distintos tipos de información del equipo infectado y enviarla a un servidor controlado por los ciberciminales.
Acceso inicial.
Operación Guinea Pig comienza con el envío de correos de spearphishing que contienen un archivo adjunto comprimido que no requiere contraseña, a continuación podemos ver un ejemplo de los correos utilizados en esta campaña. Como observamos, el asunto hace referencia al envío de un paquete y suplanta la identidad de una empresa muy conocida dedicada a la entrega de mensajería y paquetería.
Imagen 3.
Ejemplo de un correo de phishing enviado en esta campaña.
La informalidad con la que está redactado el correo es bastante llamativo, lo cual puede despertar alguna sospecha. También es importante señalar que el archivo adjunto tiene una doble extensión, .jpf .xxe. Esto también debería ser interpretado como otra señal de alerta, ya que si una empresa quiere enviar un archivo adjunto no habría necesidad de poner una doble estensión como se observa en este caso.
Una vez que la vícitma descarga y descomrpime el archivo adjunto se logra observar nuevamente el uso de la doble extensión (.jpeg y .exe) con el agregado de carácter «_». El objetivo de todo esto es confudir a quien recibe el correo para que crea que se trata de una imagen (.jpeg) y no un ejecutable (.exe).
Imagen 4.
Ejemplo de un archivo malicioso comprimido enviado en esta campaña.
Imagen 5.
Ejemplo de un archivo malicioso descomprimido que pudiera recibir una víctima.
En la imagen de arriba se puede observar la intención de los cibercriminales de confundir a las vícitmas utilizando el icono del software VMWare Workstation, un programa para crear máquinas virtuales.
AgentTesla.
Este es un código malicioso que pertenece a la familia de los troyanos de acceso remoto o RAT, como ya lo habíamos mensionado antes. Este malware fue desarrollado con el framework Microsoft .NET, que permite realizar diferectes acciones en el equipo infectado.
Es utilizado por diferentes grupos ciberciminales para espiar y robar información personal de las víctimas, ya que suele ofrecerse para la venta en mercados clandestinos donde opera bajo modelo de Malware-as-a-Service.
Algunas de sus características más importantes son:
- Realiza capturas de pantalla y/o del portapapeles (clipboard).
- Registra las pulsaciones del teclado (Keylogging).
- Obtiene las credenciales guardadas en distintos navegadores web o programas instalados en la máquina de la víctima, por ejemplo: Microsoft Outlook.
- Obtiene información de la máquina de la víctima, por ejemplo: sistema operativo, CPU, nombre de ususario, etc.
- Persiste en la maquina de la víctima.
AgentTesla también utiliza distintos métodos a la hora de enviar la información de la vícitma a los cibercriminales por ejemplo:
- HTTP: envía la información hacia un servidor controlado por el atacante.
- SMTP: envía la información hacia una cuenta de correo electrónico controlada por el atacante.
- FTP: envía la información hacia un servidor FTP controlado por el atacante.
- Telegram: envía la información hacia un chat provado de Telegram.
- De acuerdo a las muestras que analizaron los investigadores de ESET en esta campaña, loscibercriminales exfiltran la información de la víctima por medio del protocolo FTP hacia el dominio ftp.sisoempresarialsas.com. Por otro lado, este malware tiene capacidad para generar persistencia en la máquina de la víctima.
- Los cibercriminales se olvidaron de configurar AgentTesla para que genere persistencia en la máquina de la víctima.
- Dado que los cibercriminales están haciendo diferentes pruebas sobre los componentes maliciosos utilizados, no tiene interés de persistir con los códigos maliciosos utilizados en esta campaña-
Por último…
Operación Guinea Pig es una campaña maliciosa en América latina que se distribuye a través de correos de spearphishing con el objetivo de infectar a las vícitmas con el popular malware AgentTesla. Esta campaña comparte ciertas similitudes con otras campañas de malware que hemos observado en América Latina en los últimos años, como son Operación Pulpo Rojo u Operación Absoluta.
Algo en común que tiene estas campañas es el uso de un downloader en la etapa inicial de la infección y la descarga fina de un RAT que puede comprarse en foros clandestinos a un bajo costo, o incluso en algunos casos puede ser adquirido en repositorios públicos.
Como diferencia con las otras campañas, Operación Pulpo Rojo y Operación Absoluta apuntaron principalmente a Colombia y Ecuador, mientras que en Operación Guinea Pig la mayor actividad se registró en México.
