Un reciente análisis realizado por la analista de malware de G Data, Anna Lvova, ha revelado un desarrollo preocupante en el mundo de las amenazas cibernéticas. Se ha detectado una nueva variante del malware Agent Tesla, que se entrega a través de un archivo señuelo en el formato de compresión ZPAQ. Este método de entrega inusual permite al malware recopilar datos de numerosos clientes de correo electrónico y casi 40 navegadores web.
ZPAQ es un formato de compresión de archivos conocido por su ratio de compresión superior y su función de registro. Sin embargo, también se reconoce por su limitado soporte de software, lo que lo convierte en una opción atractiva para actores amenazantes que buscan explotar vulnerabilidades. El menor tamaño de los archivos ZPAQ permite una transferencia de archivos más eficiente, mientras que la función de registro proporciona una capa adicional de integridad de datos.
Agent Tesla, que apareció por primera vez en 2014, es un notorio registrador de teclas y troyano de acceso remoto. A menudo se distribuye como una carga útil de primera etapa, proporcionando a los atacantes acceso remoto a sistemas comprometidos. A partir de ahí, pueden descargar herramientas de segunda etapa más sofisticadas, como ransomware. Los correos electrónicos de phishing son un método de distribución común para Agent Tesla, y las campañas recientes han aprovechado una vulnerabilidad de corrupción de memoria en Microsoft Office.
En esta última cadena de ataque, el archivo adjunto ZPAQ se presenta como un documento PDF en un intento de engañar a los usuarios. Sin embargo, al abrir el archivo adjunto, se extrae un archivo ejecutable .NET inflado. Este ejecutable, lleno principalmente con bytes cero, infla artificialmente el tamaño de la muestra a 1 GB en un esfuerzo por eludir las medidas de seguridad tradicionales. Una vez desempaquetado el ejecutable, se descarga un archivo con extensión .wav y se descifra, ocultando su actividad maliciosa detrás de extensiones de archivo comunes.
El objetivo final de este ataque es infectar puntos finales con una versión ofuscada de Agent Tesla, protegida por .NET Reactor. Las actividades de comando y control se llevan a cabo a través de la popular aplicación de mensajería Telegram. Este descubrimiento destaca una tendencia creciente entre los actores amenazantes de experimentar con formatos de archivo poco comunes para la distribución de malware, lo que hace crucial que los usuarios se mantengan vigilantes al tratar con correos electrónicos sospechosos y mantengan sus sistemas actualizados.
Como sugiere Anna Lvova de G Data, el uso del formato de compresión ZPAQ plantea más preguntas que respuestas. No está claro si los actores amenazantes están apuntando específicamente a personas con conocimientos técnicos o si están tratando de aprovechar herramientas de archivo menos conocidas. Sin embargo, es evidente que los ciberdelincuentes continúan explorando nuevas técnicas para propagar rápidamente malware y evadir el software de seguridad.
Preguntas frecuentes (FAQ)
¿Qué es el malware Agent Tesla?
El malware Agent Tesla es un registrador de teclas y troyano de acceso remoto (RAT) que apareció por primera vez en 2014. A menudo se utiliza como carga útil de primera etapa por parte de ciberdelincuentes, brindándoles acceso remoto a sistemas comprometidos. Agent Tesla es conocido por su papel en la descarga de herramientas de malware más avanzadas, como ransomware.
¿Cómo se distribuye típicamente el malware Agent Tesla?
El malware Agent Tesla se distribuye comúnmente a través de correos electrónicos de phishing. Estos correos electrónicos pueden incluir archivos adjuntos maliciosos o aprovechar vulnerabilidades en software, como la vulnerabilidad de corrupción de memoria en el editor de ecuaciones de Microsoft Office (CVE-2017-11882).
¿Qué es el formato de compresión ZPAQ?
ZPAQ es un formato de compresión de archivos que ofrece una mejor relación de compresión y una función de registro en comparación con los formatos ampliamente utilizados como ZIP y RAR. Permite almacenar archivos en tamaños más pequeños, ahorrando espacio de almacenamiento y ancho de banda durante las transferencias de archivos. Sin embargo, ZPAQ tiene un soporte de software limitado.
¿Por qué los actores amenazantes utilizan el formato de compresión ZPAQ para la distribución de malware?
El uso del formato de compresión ZPAQ permite a los ciberdelincuentes disfrazar sus actividades maliciosas y dificultar que las soluciones de seguridad de red detecten y eviten sus ataques. También sugiere que los actores amenazantes están explorando herramientas de archivo menos conocidas para propagar malware de manera más efectiva y eludir el software de seguridad.
¿Cómo pueden protegerse los usuarios de ataques de malware como Agent Tesla?
Para protegerse contra ataques de malware, los usuarios deben ser cautelosos al abrir archivos adjuntos de correo electrónico, especialmente si parecen sospechosos. Es esencial mantener el software, incluidos los sistemas operativos y las aplicaciones, actualizados con los últimos parches de seguridad. Además, el uso de software antivirus confiable y la adopción de hábitos de navegación seguros pueden ayudar a mitigar el riesgo de infecciones por malware.