Atención: Notificación de entrega de GLS

0

ESET ha alertado acerca de una nueva campaña de malware de Agent Tesla, hacia la empresa de logística GLS a través de Notificaciones de Entrega falsa, cuyo nombre se muestra como: “Detalles de envío GLS.exe”.

Se observa que Agent Tesla y otras herramientas de control remoto, buscan con estos correos, el robo de credenciales almacenadas en aplicaciones como Clientes de correo, navegadores de Internet o clientes FTP, entre otros.

“Este tipo de campañas suelen ser periódicas, por lo que es importante aprender a reconocerlas basándonos en los casos observados hasta ahora”, explica Josep albors, director de Investigación y concienciación en ESET España.

Atención: Notificación de entrega de GLS

El cuerpo del mensaje es exactamente igual a uno que ESET ya detectó y analizó a finales de junio de 2020. Los delincuentes han mantenido exactamente el mismo cuerpo del mensaje, tan solo han cambiado la fecha y la dirección a la que apunta el enlace incluido.

La compañía ha observado cómo los delincuentes siguen alojándolos en servicios en la nube como OneDrive de Microsoft, lo que podría indicar que también se estén utilizando otras campañas con otros asuntos para propagar esta amenaza.

Este comportamiento malicioso es algo que se ha mantenido durante varios meses, y al revisar las campañas similares analizadas durante el último año, se comprueba que los delincuentes apenas han realizado variaciones en el comportamiento de sus amenazas.

Nueva campaña maliciosa de la empresas logística GLS a través de Notificaciones de Entrega falsas, cuyo nombre se muestra como “Detalles de envío GLS.exe”

Los Justificante de Pago, otra fuente de peligro

Tal y como señalan los expertos de ESET, una de las plantillas de correo que más se ha estado utilizando durante los últimos meses por parte de los delincuentes para propagar amenazas como Agent Tesla, ha sido la que simula ser un justificante de pago.

Se trata de unos mensajes que suelen ser bastante escuetos y solamente indican al usuario que lo recibe que se adjunta un justificante de pago y se muestra lo que parece ser una imagen con dicho justificante.

Sin embargo, esta imagen contiene un enlace que redirige al usuario a la descarga de un archivo comprimido de nombre “just11f.tgz” que, a su vez, contiene el archivo “just11f.exe”, responsable de la infección.

Al analizar el comportamiento del archivo malicioso, los expertos han observado que este, de nuevo, vuelve a estar centrado en el robo de credenciales almacenadas en aplicaciones del sistema.