Articulo de referencia

Agente Tesla

Agent Tesla es un troyano de acceso remoto (RAT) escrito en .NET que ha estado atacando activamente a usuarios con sistemas operativos Microsoft Windows desde 2014. Es un malwar...

Agent Tesla es un troyano de acceso remoto (RAT) escrito en .NET que ha estado atacando activamente a usuarios con sistemas operativos Microsoft Windows desde 2014. Es un malware versátil con una amplia gama de capacidades, incluyendo el robo de información confidencial, el registro de pulsaciones de teclas y la captura de pantallas . Desde su lanzamiento, este software malicioso ha recibido actualizaciones periódicas. Se vende como malware como servicio, con varias opciones de suscripción disponibles. Las campañas que involucran a Agent Tesla suelen comenzar con correos electrónicos de phishing , que se hacen pasar por mensajes legítimos de fuentes confiables. [ 1 ]

Características y funcionalidad

La versatilidad del Agente Tesla es evidente en su amplia gama de funciones. Puede:

  • Robo de credenciales y datos personales: Agent Tesla es experto en recopilar información confidencial, como contraseñas, nombres de usuario, información de contacto, datos financieros e historial de navegación. Este malware puede obtener información de más de 50 aplicaciones, como clientes de correo electrónico y navegadores web.
  • Captura de pantallas: El agente Tesla puede tomar capturas de pantalla de la pantalla del ordenador de la víctima, capturando información confidencial y la actividad de navegación.
  • Intercepción de comunicaciones: El agente Tesla puede interceptar correos electrónicos, mensajes de chat y otras formas de comunicación en línea, espiando las actividades en línea de la víctima.
  • Registro de pulsaciones de teclas: Agent Tesla puede monitorizar las pulsaciones de teclas de la víctima, registrando contraseñas, nombres de usuario y otros datos confidenciales introducidos en el teclado.
  • Carga y descarga de archivos: El agente Tesla puede cargar y descargar archivos desde el ordenador de la víctima, así como instalar módulos adicionales.
  • Propagación a otros sistemas: El agente Tesla puede propagarse a otros ordenadores de la red mediante el intercambio de archivos o explotando vulnerabilidades en la infraestructura de red. [ 1 ]

Detalles técnicos

El agente Tesla hace un uso extensivo de la ofuscación, incluyendo el empaquetado de código y diversas técnicas, como la codificación Base64 o el cifrado XOR de sus datos. [ 2 ] Esto dificulta que las herramientas de seguridad y los analistas analicen y detecten el malware. También incorpora funcionalidad anti-análisis, lo que le permite tomar medidas evasivas para evitar la detección por parte de las soluciones de seguridad e incluso desactivar funciones de seguridad, como el Control de cuentas de usuario (UAC). [ 3 ]

La mayoría de las campañas de Agent Tesla son multietapa, lo que significa que se desarrollan en varias etapas. Un proceso de ejecución típico se ve así:

  1. El malware se distribuye mediante un archivo adjunto de correo electrónico no deseado en forma de documento de Office o archivo zip que contiene la carga maliciosa. [ 4 ]
  2. Una vez abierto el archivo adjunto, el descargador de primera etapa se ejecuta comúnmente con la ayuda de macros VBS, scripts o mediante exploits de vulnerabilidades, incluyendo CVE-2017-11882/CVE-2018-0802. [ 5 ]
  3. El programa de descarga obtiene la segunda fase de una fuente externa, como la plataforma para compartir archivos Pastebin.
  4. La segunda fase se descarga, se guarda en la carpeta temporal y se descifra.
  5. Se ejecuta la carga útil final del Agente Tesla.
  6. La carga útil recopila información del sistema de la víctima y la envía al atacante. [ 6 ]

Los operadores del malware Agent Tesla pueden elegir entre cuatro protocolos de comunicación diferentes con su servidor de comando y control (C2): HTTP , SMTP , FTP y chat de Telegram . El método específico utilizado depende de la configuración establecida por el atacante.

El Agente Tesla emplea dos técnicas principales para establecer persistencia, asegurando que permanezca activo incluso después de reiniciar el sistema. Un método consiste en crear una copia de sí mismo en la carpeta de inicio, mientras que el otro se basa en que el Agente Tesla agregue claves de ejecución al registro para activar su ejecución durante el proceso de arranque. Además, el Agente Tesla puede usar Tor, una red de anonimización, para dificultar el rastreo de su comunicación. [ 7 ]

Incidentes

El agente Tesla se ha empleado en numerosos ciberataques en diversos ámbitos a lo largo de los años. Su uso fue particularmente extendido durante la pandemia de COVID-19. Por ejemplo, en 2020 se observó una campaña que, mediante una falsa actualización de equipos de protección personal, distribuía el agente Tesla, mientras que en 2021 uno de los ataques utilizó como señuelo un documento con un calendario de vacunación contra la COVID-19 [ 8 ] [ 9 ]. En octubre de 2022, el agente Tesla fue identificado como una de las cepas de malware más extendidas en el sector educativo, afectando al 7 % de las organizaciones a nivel mundial. [ 10 ]

Referencias

  1. 1 2 Arndt, James (21 de febrero de 2023). "El ascenso del agente Tesla: Entendiendo al famoso registrador de teclas" . Cofense.
  2. White, Jeff (25 de septiembre de 2017). "Analizando las diversas capas del empaquetado de AgentTesla" . Unidad 42.
  3. Blog de la comunidad de Netwitness (17 de junio de 2022). "Agente Tesla: El ladrón de información" . Blog de la comunidad de Netwitness.
  4. Scythe (18 de mayo de 2023). "Emulación de amenazas: Agente Tesla" . Scythe.
  5. Zhang, Xiaopeng (5 de septiembre de 2023). "Nueva variante del agente Tesla se está propagando mediante un documento de Excel manipulado" . Fortinet.
  6. Gallagher, Sean (2 de febrero de 2021). "El agente Tesla intensifica los ataques de robo de información" . Noticias de Sophos.
  7. Equipo de Investigación de Amenazas de Splunk (16 de noviembre de 2022). "Dentro de la mente de una 'rata': detección y análisis del agente Tesla" . Splunk.
  8. Walter, Jim (4 de septiembre de 2020). "Inteligencia de amenazas, ciberataques que aprovechan la pandemia de COVID-19/Coronavirus" . Sentinel One.
  9. Bîzgă, Alina (18 de junio de 2021). "Actores de amenazas propagan el agente Tesla disfrazado de registro de vacunación contra la COVID-19" . Bitdefender.
  10. Kelly, Ross (9 de noviembre de 2022). "AgentTesla sacude el sector educativo en medio de un aumento en los ataques de malware" . DigitNews.