2CMV23-00426-01 CSIRT alerta de nueva campaña de phishing con malware en falsa cotización

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware, que se difunde a través de una falsa cotización.

Si la víctima interactúa con el fichero malicioso se encontrará con un archivo de Microsoft Excel que explota una vulnerabilidad de Office que permite a los atacantes ejecutar código remoto en el sistema. La vulnerabilidad está relacionada con el antiguo editor de ecuaciones de Microsoft office (EQNEDT32.EXE), el cual no maneja correctamente los objetos en memoria. Esta herramienta permite a los usuarios insertar ecuaciones matemáticas como objetos OLE dinámicos en documentos de Office.

El archivo Excel maliciosa transporta un malware llamado Agent Tesla, un troyano de acceso remoto (RAT) diseñado para sustraer información de sus víctimas. Para eso, registra lo que se digita en el equipo infectado (función keylogger), toma capturas de pantalla, visualiza y copia lo que hay en el portapapeles, y extrae contraseñas y cookies de múltiples navegadores web, VPN (como Open VPN y Nord VPN) y también de Microsoft Outlook.