Avast, líder mundial en seguridad digital y privacidad, está rastreando y advirtiendo de una campaña activa de robo de información de AgentTesla dirigida a empresas de Europa y Sudamérica a través de correos electrónicos de phishing. Avast está protegiendo a una gran variedad de empresas de estos correos electrónicos, incluyendo escuelas, tiendas de muebles para el hogar, empresas de fabricación de etiquetas y una empresa que vende yates.

Estos correos electrónicos de phishing se envían desde direcciones de correo electrónico falsas pertenecientes a consumidores y empresas. Se localizan en función de la ubicación del destinatario. Por ejemplo, las víctimas con una dirección de correo electrónico .de reciben el correo en alemán enviado desde una dirección de correo electrónico .com.ar.

El asunto del correo electrónico y el archivo adjunto se denominan “Borrador de contrato”. El cuerpo del correo electrónico está vacío, con la excepción de una línea de texto que dice “Get Outlook for Android”. El archivo adjunto, si se abre, infecta el dispositivo con AgentTesla. AgentTesla es capaz de robar contraseñas de navegadores, clientes de correo electrónico, clientes VPN, clientes FTP, portapapeles y a través de las pulsaciones de teclas realizadas por el usuario al introducir las credenciales de inicio de sesión en un sitio web, tomar capturas de pantalla, robar información sobre el ordenador del usuario y descargar más malware.

En esta campaña en particular, los malos actores están utilizando AgentTesla para recopilar información sobre los ordenadores de las víctimas y están robando las credenciales de acceso almacenadas en los navegadores y clientes de correo electrónico.

La campaña comenzó el viernes 12 de agosto de 2022, dirigiéndose a usuarios de España, Portugal, Rumanía y varios países de Sudamérica. En la semana del 15 de agosto de 2022, Avast vio una ola de ataques más grande dirigida a 10K usuarios en Alemania y 2K usuarios en Argentina. Ayer (23 de agosto de 2022), una pequeña oleada se dirigió a más de 600 usuarios en Suiza por la mañana. Hasta ahora se han enviado más de 26.000 correos electrónicos.

Pavel Novak, investigador de malware de Avast, aconseja a los usuarios que no abran estos correos electrónicos y que los eliminen. Se aconseja a cualquiera que tenga dudas sobre si un mensaje que recibe es real o falso que no haga clic en ningún enlace o archivo adjunto. En su lugar, Pavel recomienda ponerse en contacto directamente con la empresa de la que parece provenir el mensaje, visitando su sitio web y utilizando la información de contacto que aparece en el mismo.