Recientemente expertos en ciberseguridad detectaron la presencia de un nuevo tipo de programa malicioso (malware) que está atacando a personas que residen en varios países de América Latina. El objetivo de esta amenaza es infectar los dispositivos de las víctimas para que los cibercriminales puedan robar contraseñas, hacer capturas de pantalla y luego enviar esa información a los equipos de los ciberdelincuentes.
Según estableció una investigación realizada por un equipo de especialistas de Eset, compañía especializada en ciberseguridad, el ataque se ejecuta mediante el envío de una serie de emails falsos.
Los investigadores indican que los cibercriminales envían correos electrónicos maliciosos en donde se suplanta la identidad de una marca reconocida y también cuentan con un archivo comprimido adjunto que esconde el programa malicioso.
¿Cómo se ejecuta el ciberataque?
El grupo de expertos que identificó que algunos de los correos falsos usados en el ataque, suplantaban la identidad de reconocidas empresas de mensajería y paquetería. En la comunicación se indica que ocurrió un problema con el envío de un paquete que la víctima debe recibir y por ello se solicita que se descargue el archivo adjunto en el correo para que se haga la corrección de la dirección del usuario y así proceder con la entrega de forma satisfactoria.
De manera que quienes caigan en el engaño descargarán en su dispositivo (PC, smartphone o tablet) un archivo con la extensión .jpg.xxe y así dará inicio el proceso de infección. Cuando la víctima descomprima el documento y luego intente abrirlo el virus troyano ‘AgentTesla’ atacará el equipo.
Es importante destacar que el AgentTesla, es un troyano que tiene la capacidad de robar información personal del usuario. Según Eset, estas son algunas de las capacidades más peligrosas que posee este malware:
• Realizar capturas de pantalla y/o del portapapeles, por ende puede robar información de un chat de WhatsApp
• Registrar pulsaciones de teclado (Keylogging), así puede robar contraseñas de diferentes plataformas, especialmente los servicios bancarios
• Obtener las claves guardadas en distintos navegadores web o programas instalados en el dispositivo
• Obtener información del equipo de la víctima, por ejemplo, el sistema operativo, CPU, nombre de usuario
¿Cómo detectar la trampa de los cibercriminales?
En primer lugar, es vital revisar la dirección de correo de la comunicación, puesto que en muchos casos los cibercriminales usan direcciones genéricas que no tienen relación alguna con la marca que intentan suplantar.
Por otra parte, se debe tener presente que una empresa reconocida, especialmente de envíos y mensajería, nunca enviará un correo electrónico al usuario para pedirle que corrija la información de un envío. En caso de que exista un problema real con un envío, la marca siempre empleará sus canales de comunicación oficiales para ponerse en contacto con los usuarios y así solucionar la situación.
El hecho de que el correo exija la descarga de un documento es otra situación que debe disparar una alerta, en especial si se tiene en cuenta que el archivo adjunto tiene una doble extensión (.jpg.xxe), pues esta es una táctica para confundir al usuario y hacerle creer que se trata de una imagen (.jpeg) y no un archivo ejecutable (.exe).
¿Cómo protegerse del malware?
Expertos recomiendan que es fundamental revisar con mucha atención cualquier tipo de correos sospechoso y antes de descargar algún archivo o ingresar a un enlace que acompañe el mail, es recomendable comunicarse directamente con la marca y así consultar la situación.
De igual manera, se sugiere tener un programa antivirus que ayude a detectar y eliminar cualquier malware que pueda haberse instalado de forma accidental en el dispositivo del usuario.
Finalmente, se aconseja mantener debidamente actualizado el dispositivo y todos los programas o aplicaciones que estén instaladas en él, de esta manera se reducirán las posibilidades de que un malware puedan invadir el sistema del equipo.