SophosLabs entrego los resultados de una investigación desarrollada durante los últimos 10 meses del malware Agent Tesla, donde describen el comportamiento del malware y su evolución en el tiempo. Identificando dos versiones activas en internet Agent Tesla versión 2 y versión 3.
Este malware se encuentra en la categoría de troyano de acceso remoto (RAT), encontrándose activo en internet hace más de siete años, donde su objetivo es robar las credenciales de usuarios, recopilación de la información de los navegadores web, clientes de correo, capturas de pantallas, registro de teclado.
EL malware en su constante evolución ahora apunta a desactivar el software de Microsoft (ASMI) anti-malware para así evitar la detección e introducirse al sistema.
Agente Tesla se encuentra empleando múltiples formas de evasión y ofuscación para evitar ser detectado por los sistemas de seguridad, los investigadores Sean Gallagher y Markel Picado describen en la investigación que el Agent Tesla se encuentra utilizando el cliente de redes Tor para anonimizar las conexiones y la API de mensajería de Telegram para enviar datos extraídos del sistema infectado.
El vector de entrada del malware es a través de correo electrónico donde los atacantes adjuntan archivos infectados. En diciembre de 2020, el Agente Tesla representó el 20% de los archivos adjuntos de correo electrónico de malware detectados en la telemetría de los clientes de Sophos.
Según los investigadores Agent Tesla utiliza una serie de métodos para dificultar el análisis estático, sandbox y la detección en los endpoint. Más allá de ofuscar el código en los empaquetadores, están utilizando en las distintas etapas de infección una serie de instaladores ubicados en sitios web legítimo.
El comportamiento del malware tras infectar a una víctima como primera etapa elige un método para comunicarse con el servidor comando y control los que pueden ser:
- HTTP, envía los datos directamente a un panel web controlado por el atacante.
- SMTP, envía datos utilizando una cuenta de correo administrada por el atacante.
- FTP, sube datos a un servidor FTP controlado por el atacante.
- Telegram, enviando los datos extraídos a una sala de chat privada de Telegram.
Luego de enviar los datos y como segunda etapa el malware configura la persistencia para permanecer en el equipo, aunque sea reiniciado y de esa forma ejecuta su tercera etapa de la infección recopilando información por ejemplo dirección IP, nombre del procesador, memoria Ram y nombre de usuario, nombre de equipo entre otros datos.
Luego de las etapas anteriores, el malware roba credenciales de algunas aplicaciones tales como Opera, Firefox, OpenVPN, WinSCP, SmartFTP entre otras. Los investigadores indican que otra función es la exfiltración de capturas de pantallas que son enviadas en formato JPEG a los servidores comando control y de la misma manera las capturas de pulsaciones de teclado y capturas el portapapeles de Windows, como etapa final.
Se recomienda que las organizaciones y las personas deben siempre manejar los archivos adjuntos de los correos electrónicos con precaución, en especial de cuentas de correo desconocidas.
