La nueva campaña de phishing relacionada con Covid difunde al agente Tesla RAT

A pesar de que una parte cada vez más grande de la población mundial se está vacunando contra el Covid-19 y la histeria global que se había apoderado del mundo en la primera mitad de 2020 ahora se está extinguiendo gradualmente y la vida está volviendo lentamente a una apariencia de normalidad, hay Todavía hay suficiente ansiedad como para permitir que los malos actores y los piratas informáticos lleven a cabo planes relacionados con el virus.

En la última instancia de campañas de malware con temas de Covid, los investigadores de seguridad han notado que está en marcha una nueva campaña de phishing, que propaga el troyano de acceso remoto Agent Tesla (RAT). El nuevo impulso para difundir el Agente Tesla fue descubierto por investigadores de seguridad rumanos y utiliza un plan de vacunación falso de Covid como señuelo.

El cuerpo de los correos electrónicos maliciosos está escrito de una manera sucinta y profesional y alienta a las víctimas potenciales a tomar medidas y revisar algún tipo de "problema" inventado con su registro de vacunación. El cebo del correo electrónico menciona "problemas técnicos" no especificados e invita a las víctimas a hacer clic en un enlace. Una de las primeras señales de que algo anda mal con el correo electrónico es que tiene varios errores gramaticales y sintácticos en su texto, a pesar de su longitud relativamente corta.

El Agente Tesla RAT en sí no es nada nuevo, ha sido rastreado por investigadores de seguridad durante la mayor parte de una década. Aunque la RAT se utilizó principalmente para robar contraseñas en el pasado, sus versiones más recientes tienen un conjunto ampliado de capacidades maliciosas, que incluyen una mejor evitación de la detección e incluso mejores herramientas de extracción de datos.

El archivo adjunto malicioso que se incluye en el correo electrónico de phishing es un archivo .rtf de formato de texto enriquecido que abusa de una vulnerabilidad bastante antigua que fue muy popular entre los malos actores hace unos años. La vulnerabilidad en cuestión se codificó como CVE-2017-11882 y ha sido parcheada desde hace mucho tiempo, como sugiere el identificador del año 2017 en el designador. Sin embargo, parece que quienquiera que esté ejecutando esta última campaña está buscando usuarios que todavía estén ejecutando versiones desactualizadas de Microsoft Office 2007 a 2016.

Cualquier información que la RAT logre extraer del sistema infectado, la transfiere a sus operadores a través de SMTP.

Al igual que con cualquier campaña de phishing, la mejor manera de mantenerse a salvo es nunca hacer clic en enlaces o abrir archivos adjuntos contenidos en correos electrónicos no solicitados. A veces, los señuelos de phishing más elaborados compuestos por hablantes nativos tienen una gramática perfecta e incluso pueden usar los logotipos de la institución legítima que están tratando de imitar. Tener mucho cuidado y mantener una suite anti-malware instalada y actualizada en todo momento puede ayudar a reducir aún más la amenaza de abrir un correo electrónico malicioso e infectarse con malware.