Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, ha descubierto tres campañas maliciosas de Agent Tesla uno de los malwares más extendidos. Sus operaciones se dirigieron contra empresas de Estados Unidos y Australia y utilizaban la compra de bienes y entrega de pedidos como reclamo.

La investigación revela que los ciberdelincuentes contaban con una base de datos de 62.000 correos electrónicos, incluyendo particulares y empresas de diferentes sectores. Independientemente de las campañas originadas a partir de las víctimas procedentes de las empresas, el grupo cuenta con un gran número de servidores para proteger su identidad. A pesar de los esfuerzos de los ciberdelincuentes por mantener su anonimato, Check Point Research ha revelado su verdadera identidad y ha reconstruido sus movimientos a través de un seguimiento continuo de su actividad.

El malware Agent Tesla es un troyano de acceso remoto (RAT) avanzado especializado en el robo e infiltración de información sensible de equipos infectados. Puede recopilar diferentes datos, incluyendo pulsaciones de teclas, así como credenciales de inicio de sesión de navegadores (como Google Chrome y Mozilla Firefox) y cuentas de correos electrónicos utilizados en los dispositivos infectados. Agent Tesla tiene una historia poco habitual en el panorama de la ciberseguridad ya que ha formado parte de las 10 familias de malware más predominantes desde 2020.

Los cibercriminales tenían una base de datos de 62.000 correos electrónicos, incluyendo particulares y empresas de diferentes sectores

“Bignosa” y “Gods” dos atacantes y un solo objetivo 

Check Point Research ha rastreado la actividad de los dos grupos detrás de las operaciones de Agent Tesla y están conectados entre sí:

  • «Bignosa”. El atacante principal, parece formar parte de un grupo que lleva a cabo campañas de malware y phishing, dirigidas a empresas, tal y como demuestran las bases de datos de correos electrónicos de compañías de Estados Unidos y Australia, así como a usuarios particulares. «Bignosa» empleó Cassandra Protector para confundir y utilizó diversas familias de malware, lo que señala un nivel secundario de tácticas y herramientas de ciberdelincuencia.
  • «Gods», también conocido en Internet como «Kmarshal», ha participado anteriormente en ataques de phishing y después a campañas de malware. Así mismo, ha mostrado capacidades en diseño web y operaciones de phishing.

Las campañas de malware fueron preparadas meticulosamente 

En lugar de iniciar el spam con un solo clic, estas campañas de malware utilizaron correos electrónicos de phishing relacionados con la compra de artículos y la entrega de pedidos para iniciar la infección El malware en sí estaba protegido por el Cassandra Protector, añadiendo capacidades de anti-detección para dificultar su intercepción.

Check Point Research quiere destacar la importancia de mantener la alerta en materia de ciberseguridad con el objetivo de reducir este tipo de riesgos:

  • Mantener actualizados los sistemas operativos y las aplicaciones, mediante parches oportunos y otros medios.
  • Ser precavido ante correos electrónicos inesperados con enlaces, especialmente de remitentes desconocidos.
  • Aumentar la concienciación sobre ciberseguridad entre los empleados.
  • Consultar a especialistas en seguridad ante cualquier duda o incertidumbre.