Agent Tesla: principales características de este malware | WeLiveSecurity

Agent Tesla: principales características de este malware

Analizamos las principales características de este troyano de acceso remoto (RAT) conocido como Agent Tesla.

Analizamos las principales características de este troyano de acceso remoto (RAT) conocido como Agent Tesla.

Explicamos qué es Agent Tesla, cómo se propaga este malware y cuáles son las principales características de acuerdo a muestras analizadas durante el primer trimestre de 2021.

Qué es Agent Tesla

Agent Tesla es un malware del tipo remote access trojan (RAT) que está activo desde 2014 y que es distribuido como un Malware-as-a-Service (MaaS) en campañas a nivel global.

Este malware está desarrollado con el framework .NET y es utilizado para espiar y robar información de los equipos comprometidos, ya que cuenta con la capacidad de extraer credenciales de distintos software, obtener cookies de navegadores de Internet, registrar las pulsaciones del teclado de la máquina (Keylogging), así como realizar capturas de pantalla y del clipboard (portapapeles).  Este código malicioso utiliza distintos métodos para el envío de la información recopilada hacia el atacante.

A su vez, se ha visto que esta amenaza puede venir incluida dentro de un empaquetador (packer) con distintas capas de ofuscación. Esto es utilizado para tratar de evadir las soluciones de seguridad y dificultar el proceso de investigación y análisis del malware. Estos empaquetadores pueden implementar distintas técnicas para obtener información de la máquina sobre la que se está ejecutando, para, por ejemplo, averiguar si es una máquina virtual o una máquina sandbox, y en caso de ser así, evitar su ejecución.

Estos empaquetadores también se han visto en otras campañas, como por ejemplo, en Operación Spalax.

Cómo se propaga Agent Tesla

Esta amenaza suele propagarse por medio de correos electrónicos de phishing que incluyen un archivo adjunto malicioso con el cual buscan engañar al usuario que recibe el correo para hacer que descargue y ejecute este contenido.

Por ejemplo, se ha visto distribuir Agent Tesla a través de correos que suplantaban la identidad de conocidas empresas de servicios de logística, y en los cuales se incluía un archivo adjunto que parecía tener relación con el envío de un paquete, pero que en realidad era contenido malicioso.

Imagen 1. Ejemplo de correo que distribuye Agent Tesla.
ACLARACIÓN: en la imagen se puede ver que los archivos terminan con la extensión “.txt”. Esto es porque las soluciones de seguridad de ESET borran y reemplazan el archivo original que venía en el correo.

Con respecto a los archivos maliciosos adjuntos, los mismos pueden variar, ya sea para engañar al usuario como también para evadir las soluciones de seguridad. Por ejemplo, pueden ser archivos comprimidos, documentos del paquete Office o un archivo ejecutable, etc.

A su vez, el malware no siempre se encuentra directamente en estos archivos. En ocasiones estos archivos adjuntos son utilizados solamente para descargar contenido malicioso desde Internet y de esta manera terminar infectando la máquina con Agent Tesla, haciendo que la cadena de infección sea más larga y compleja para darla de baja.

En el siguiente diagrama (Imagen 2) se puede observar un ejemplo de cómo suele ser un proceso de infección con Agent Tesla. En este caso parte desde un correo con contenido malicioso, pasando por distintas fases en las que se descarga un código malicioso desde una URL para luego ser ejecutado, hasta llegar a la ejecución del payload final: Agent Tesla.

Imagen 2. Diagrama de un posible proceso de infección de Agent Tesla.

Principales características de Agent Tesla

Nota: las siguientes características fueron las que se observaron en distintas muestras analizadas durante el primer trimestre del 2021.

Agent Tesla cuenta con distintas características y funcionalidades que le permiten realizar las acciones maliciosas mencionadas anteriormente.

Por un lado, tiene dos clases (class) que contienen variables y métodos relacionados a la configuración. De estas clases de configuración el malware puede variar un poco en su comportamiento, pero principalmente es capaz de realizar las siguientes acciones:

  • Persistencia en la máquina de la víctima
  • Desinstalación de la amenaza
  • Determinar el método de exfiltración de la información recolectada
  • Obtener la IP publica de la máquina de la victima
  • Obtener información de la máquina víctima (sistema operativo, CPU, RAM, nombre de usuario, etc.)
  • Tomar capturas de pantalla de la máquina de la víctima
  • Ejecutar un keylogger

A su vez, en una de estas clases se puede encontrar información como:

  • Listado de programas a los que apunta para robar información sensible
  • Ruta donde se instala la amenaza
  • Listado de navegadores para obtener las cookies de los mismos
  • Credenciales o URL utilizadas para exfiltrar información


Imagen 3. Variables de configuración de Agent Tesla utilizadas para ganar persistencia.

Por otro lado, Agent Tesla va a ir buscando en la máquina de la víctima la existencia de distintos softwares e intentará obtener información sensible de los mismos; por ejemplo, credenciales almacenadas.

Alguno de los softwares a los que puede intentar acceder son:

  • Firefox
  • Chrome
  • Brave Browser
  • Amigo
  • Opera Browser
  • Yandex Browser
  • Postbox
  • Mailbird
  • Outlook
  • FTPCommander
  • CoreFTP
  • SmartFTP
  • OpenVPN
  • NordVPN

La información recopilada por cada uno de estos programas es almacenada para luego ser enviada al atacante.

A su vez, realiza un procedimiento similar al mencionado anteriormente para extraer las cookies almacenadas en el o los navegadores de Internet instalados en la máquina de la víctima.

Una vez que el malware consiguió toda la información del equipo, el atacante manipulará la computadora para exfiltrarla.

Agent Tesla tiene distintos métodos para realizar la exfiltración de información, por ejemplo:

  • HTTP: Envía la información hacia un servidor controlado por el atacante.
    • Para esta opción el malware descarga, instala y usa como proxy el navegador TOR.
  • SMTP: Envía la información hacia una cuenta de correo electrónico controlada por el atacante.
  • FTP: Envía la información hacia un servidor FTP controlado por el atacante
  • Telegram: Envía la información hacia un chat privado de Telegram.

Imagen 4. Exfiltración de la información de la víctima vía SMTP.

Por último, Agent Tesla tiene la capacidad ejecutar un keylogger y/o realizar capturas de pantalla en la máquina víctima. Estas características se van a ejecutar dependiendo de las opciones en sus clases de configuración. Luego de cierto tiempo la información es recolectada y enviada por el método de exfiltración elegido.

Imagen 5. Lógica utilizada para realizar una captura de pantalla de la víctima.

Consejos para estar protegido

Algunas recomendaciones a tener en cuenta para evitar ser víctima de esta amenaza:

  • Analizar los datos del remitente del correo. Prestar atención a:
    • La dirección de correo y de dónde proviene.
    • El nombre de la persona que nos envía el correo.
    • Revisar el contenido del correo; por ejemplo, faltas de ortografía.
  • En caso de que no haya ningún indicio de que el correo sea malicioso revisar que ese destinatario sea válido.
  • No abrir ningún correo si hay motivos para sospechar, ya sea del contenido o de la persona que lo envió.
  • No descargar archivos adjuntos de correos si duda de su recepción o de cualquier otra cosa.
  • Revisar las extensiones de los archivos. Por ejemplo, si un archivo termina con “.pdf.exe” la última extensión es la que determina el tipo de archivo, en este caso sería “.exe”; es decir, un ejecutable.
  • Si un correo incluye un enlace que nos lleva a una página que nos pide nuestras credenciales para acceder, no ingresarlas, abrir la página oficial desde otro navegador u otra pestaña y acceder desde ese lugar.
  • Ser prudentes al descargar y extraer archivos comprimidos .zip, .rar, etc., más allá de que la fuente que envía el correo sea legitima.
  • Tener todos los equipos y aplicaciones actualizados a la versión más reciente.
  • Tener una política de cambio de contraseñas periódico.
  • Mantener actualizadas las soluciones de seguridad instaladas en el dispositivo.

 

Técnicas MITTRE ATT&CK

A continuación, mencionamos algunas de las técnicas de MITTRE ATT&CK presentes en esta amenaza:

TácticaTécnica (ID)Nombre  
Initial AccessT1566.001Phishing: Spearphishing Attachment
PersistenceT1547.001Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
CollectionT1115Clipboard Data
T1113Screen Capture
T1114Email Collection
ExfiltrationT1041Exfiltration Over C2 Channel
T1048Exfiltration Over Alternative Protocol

 

Newsletter

Discusión