Agent tesla, el malware espía que sigue evolucionando y mantiene campañas activas

16 Abril 2021
Alto

Agent Tesla, un malware espía que ha estado activo durante más de siete años en la red, hoy se ha evidenciado en campañas que siguen robando datos a sus víctimas. Dicho malware, ha demostrado una gran capacidad de adaptación a las circunstancias de la red y nuevos dispositivos, es por eso que variedad de atacantes usan el malware para robar credenciales de usuario y otros datos de las víctimas a través de capturas de pantalla, registro de teclado y captura del portapapeles.
 

Agent Tesla

Desde el año 2014 que se conoce de la existencia del malware Agent Tesla. Sus primeras campañas fueron de robo de datos y credenciales; en diciembre de 2020, Agent Tesla fue el causante del 20% de los archivos adjuntos de correo electrónico de malware detectados en la telemetría de clientes de Sophos. 

A pesar de los años, hoy en día sigue vigente gracias a su gran capacidad de adaptarse con variantes y nuevos módulos que permiten robar credenciales de apps descargadas, de navegadores web, de clientes VPN, FTP o de correo electrónico, por lo que su peligrosidad es máxima.
 

¿Qué es Agent Tesla?

Es un malware desarrollado en .NET que tiene por objetivo recopilar información sobre las acciones de sus víctimas registrando las pulsaciones de teclas y las interacciones del usuario, robando sus datos personales para luego transmitirlos de vuelta al servidor C2. Este se comercializa falsamente como “software legítimo” en el sitio web específico donde se vende este malware, pero también es posible conseguirlo en múltiples foros y mercados negros.
 

Un malware que se actualiza para ser más peligroso

Es bien sabido que las bandas de ciberactores están siempre en la búsqueda de mejorar y adaptar las capacidades de sus malwares para hacerlos más eficacez en sus ataques y evitar su detección, los creadores de Agent Tesla no fueron la excepción, puesto que para el 16 de abril de 2020 los desarrolladores de este malware habían agregado un nuevo módulo para el robo de contraseñas WIFI.

Hoy en día, las versiones actualizadas de Agent Tesla Rat incluyen nuevas técnicas que manipulan el código para deshabilitar las herramientas de protección de terminales en los sistemas de destino.

Según una reciente investigación de Sophos, se pueden destacar los siguientes cambios:

  • Un aumento en la cantidad de aplicaciones destinadas al robo de credenciales, incluidos navegadores web, clientes de correo electrónico, clientes de redes privadas virtuales y otro software que almacena nombres de usuario y contraseñas.
  • Evolución de su paquete de entrega, con una versión que ahora apunta a la Interfaz de software anti-malware de Microsoft (AMSI) en un intento de derrotar el software de protección de endpoints.
  • Mejoras en sus capacidades de evasión de defensa y ofuscación para evitar la detección, incluidas las opciones para instalar y utilizar el cliente de red anonimizado Tor, y la API de mensajería de Telegram, para las comunicaciones de comando y control (C2).
  • La mejora en la tasa de éxito del malware contra las defensas sandbox y los escáneres de malware, y en brindar más opciones C2 a sus clientes atacantes.
     

Variables de configuración de Agent Tesla

Las variables comunes en versiones de Agent Tesla evidenciadas determinan qué protocolo de red se utilizará para las comunicaciones C2, basándose en un valor entero establecido por el archivo de configuración. También pueden habilitar o deshabilitar los siguientes comportamientos:

  • Persistencia (permitiendo que la RAT se reinicie cuando se reinicia el sistema operativo)
  • Activación de una función de desinstalación remota
  • Recopilación de la dirección IP del host infectado
  • Envío de un mensaje de éxito al C2 después de la instalación
  • Si robar o no datos a través de capturas de pantalla
  • Si registra o no las pulsaciones de teclas (y, en versiones más avanzadas de Agent Tesla, robar el contenido del portapapeles del sistema de Windows).
  • En Agent Tesla, si implementar o no un cliente Tor para ocultar las comunicaciones.

El compilador de RAT codifica estas opciones en el ejecutable que se entrega a la víctima.
 

Vector de entrada

El agente Tesla suele llegar por medio de un correo electrónico malicioso no deseado con un archivo adjunto. El malware que suelta Agent Tesla está disfrazado como un archivo adjunto que el ciberactor espera que la víctima abra para lograr infectar su equipo o sistema. Las cuentas de correo electrónico utilizadas para difundir Agent Tesla suelen ser cuentas legítimas que se han visto comprometidas. 

Las organizaciones y las personas deben tener como política permanente tratar los archivos adjuntos de correo electrónico de remitentes desconocidos con precaución y verificar los archivos adjuntos antes de abrirlos.
 

Primeros pasos

  • Lo primero que hacen las versiones más recientes de Agent Tesla cuando se activan es verificar (y eliminar) cualquier otra instancia en ejecución de Agent Tesla, un paso que se toma para garantizar que la copia implementada originalmente se elimine si el bot está configurado para establecer persistencia.
  • Luego, inicializa variables globales adicionales configuradas dinámicamente (como un número de identificación y un nombre) y la carpeta que se utilizará para la instalación. Estos varían de una muestra a otra.
  • Por último, el malware realiza otra técnica de evasión de sandbox, inicializando un temporizador que se usa para verificar si el código se está ejecutando en una sandbox. El temporizador tiene un procedimiento que usa GetLastInputInfo para recuperar y comparar la entrada del usuario; si no se detecta ninguna entrada del usuario, Agent Tesla se apaga.
     

Panorama

Agent Tesla sigue siendo una amenaza constante; durante muchos meses, se ha mantenido entre las principales familias de malware que usan como vector de entrada los archivos adjuntos maliciosos en correos electrónicos. Debido a este flujo sostenido de ataques del Agent Tesla, creemos que los desarrolladores continuarán actualizando y modificando el malware para evadir las herramientas de protección de terminales y correo electrónico.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

  • Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
  • Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
  • No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
  • No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #AgentTesla #Malware #Spyware #Sandbox #Phishing


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.