Las herramientas de acceso remoto, o RAT para abreviar, continúan siendo una gran amenaza. Malwarebytes ha desenmascarado recientemente a un grupo de estafadores nigerianos en torno al Agente Tesla. Afortunadamente, no había profesionales a tiempo completo trabajando con el grupo: enviaron correos electrónicos de prueba y, por lo tanto, revelaron su dirección IP.
El ladrón de datos "Agente Tesla" es una herramienta de acceso remoto (RAT) que ha estado activa desde 2014 y ahora es uno de los archivos maliciosos más populares que se pueden observar en las campañas de correo electrónico no deseado. En su búsqueda de amenazas dirigidas a Ucrania, Malwarebytes ha identificado un nuevo grupo que ha estado muy involucrado en el phishing y otras formas de robo de datos durante varios años. La ironía detrás de esto: uno de los principales actores de la amenaza también había infectado su propia computadora con un binario del Agente Tesla.
Casi 1 millón de credenciales de inicio de sesión robadas
Las actividades del estafador comenzaron hace unos años con el clásico fraude de pago por adelantado (fraude 419). Mientras tanto, el estafador está ejecutando con éxito las campañas del Agente Tesla. En los últimos dos años, ha podido robar casi un millón de credenciales de inicio de sesión de sus víctimas de esta manera.
Una campaña de correo electrónico con el Agente Tesla usando un correo electrónico ucraniano llevó a Malwarebytes a rastrear a los estafadores. La investigación del equipo de inteligencia sobre amenazas de Malwarebytes comenzó con un correo electrónico titulado Остаточний платіж.msg en ucraniano, que se traduce como Pago final.msg. El correo electrónico contenía un enlace a un sitio de intercambio de archivos que descargaba un archivo que contenía un ejecutable, lo que llevó al equipo de inteligencia de amenazas a seguir el rastro del estafador.
El ejecutable es en realidad un agente malicioso Tesla Stealer. Esto es capaz de filtrar datos de varias maneras. La técnica detrás de esto es bastante simple: solo requiere una cuenta de correo electrónico que se envíe mensajes a sí mismo con las credenciales robadas de cada víctima.
Los mensajes de prueba revelan la dirección IP del atacante
El atacante envió una serie de mensajes "¡Prueba exitosa!" desde la misma cuenta. Se sabe que los atacantes generalmente usan este tipo de mensajes para verificar si la comunicación con el Agente Tesla está configurada correctamente. Sin embargo, los correos electrónicos deberían haber sido eliminados después por razones obvias. Sin embargo, el actor de amenazas no lo hizo en este caso. Al hacerlo, reveló su propia dirección IP y Malwarebytes pudo ubicar la dirección en Lagos, Nigeria. Por lo tanto, Malwarebytes le dio al grupo de estafadores descubierto el nombre de "Tesla nigeriano".
Se enviaron otros 26 correos electrónicos desde la misma dirección IP, que no eran correos electrónicos de prueba, sino que provenían de una ejecución real del Agente Tesla. El atacante también ha logrado infectar su propia computadora.
El atacante opera con diferentes nombres y cuentas de correo electrónico
Por ejemplo, en sus operaciones anteriores de phishing y robo de datos, el atacante utilizó los nombres Rita Bent, Lee Chen y John Cooper junto con más de 25 cuentas de correo electrónico y contraseñas diferentes que contenían la cadena "1985". De la multitud de perfiles se puede apreciar que el actor de amenazas ha tenido una extensa carrera que comenzó al menos en 2014. En ese entonces estaba ejecutando estafas clásicas bajo el nombre de Rita Bent.
Otra estafa favorecida por el grupo fue el phishing disfrazado de páginas de inicio de sesión de Adobe. Los investigadores de seguridad de Malwarebytes tienen registros de varias páginas de destino falsas de Adobe implementadas desde 2015 hasta hace poco.
¿Quién está detrás de los ataques de datos?
Detrás de la dirección IP ubicada en Nigeria hay un hombre llamado EK. De hecho, este actor de amenazas todavía compartió fotos de sí mismo en 2016. También se rastreó una foto de su licencia de conducir. Esto demuestra que nació en 1985. Así queda finalmente el cuadro: El año de nacimiento 1985 fue utilizado en muchas contraseñas de las cuentas de correo electrónico desde donde se realizaban las actividades ilícitas.
Actualmente hay poca información sobre los otros miembros del grupo de estafadores. Sin embargo, EK parece tener el papel más importante y al menos ser el que originalmente dio vida al Tesla nigeriano.
El Tesla nigeriano robó un total de más de 800.000 credenciales diferentes de unas 28.000 víctimas. Esto muestra cuán simples pero efectivas pueden ser este tipo de campañas. El caso de EK también muestra una evolución interesante de un actor de amenazas que realizó la clásica estafa de pago por adelantado (estafa 419) antes de finalmente pasar al mundo de la distribución de malware. Los usuarios de Malwarebytes están protegidos del Agente Tesla. El atacante se detecta como Spyware.Password.Stealer.
Más en Malwarebytes.com
Acerca de Malwarebytes Malwarebytes protege a los usuarios domésticos y las empresas de amenazas peligrosas, ransomware y exploits que los programas antivirus no detectan. Malwarebytes reemplaza por completo otras soluciones antivirus para evitar las amenazas modernas de ciberseguridad para usuarios privados y empresas. Más de 60.000 XNUMX empresas y millones de usuarios confían en las innovadoras soluciones de aprendizaje automático de Malwarebyte y sus investigadores de seguridad para evitar amenazas emergentes y eliminar el malware que las soluciones de seguridad anticuadas pasan por alto. Visite www.malwarebytes.com para obtener más información.