¿Que es Agent Tesla?
Agent Tesla es un malware de la categoría spyware que apareció en escena el año 2014 y que tiene origen en Turquía, los atacantes utilizan esta amenaza como software espía para capturar todo lo que sus víctimas han visto y digitado en el equipo infectado.
Este spyware está desarrollado en .NET y su objetivo es robar datos personales y transmitirlos de vuelta al servidor C2 (command and control). A través de este malware los atacantes pueden recolectar información almacenada de los navegadores web, clientes de correo electrónico, servidores FTP, generar capturas de pantalla, grabación de videos y capturar datos de formularios y del portapapeles entre otros.
En la siguiente imagen se pueden ver algunos aspectos de la configuración de Agent Tesla relacionados a la propagación, persistencia y evasión.
El 16 de Abril de 2020 – los desarrolladores agregaron un nuevo módulo para el robo de contraseñas WIFI en la última versión de esta amenaza.
En un principio Agent Tesla fue distribuido desde su propio sitio web oficial, sin embargo, hoy en día es comercializado y vendido en múltiples foros y mercados negros.
La siguiente imagen muestra el uso de este RAT controlado vía Discord y configurado para exfiltrar la información recopilada a través de correo electrónico.
Distribución de Agent Tesla
Durante estos últimos meses, Agent Tesla se distribuyó activamente a través de campañas de SPAM en formatos como ZIP, RAR, CAB, MSI, GZ archivos IMG y documentos de Office.
A continuación, algunos ejemplos de los correos Phishing enviados en estas campañas.
También se han visto muestras en Chile como la siguiente imagen sobre una postulación a un trabajo de Asistente de Oficina: «currículum vítae».
Recomendaciones de seguridad
- Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
- Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
- No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
- No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
- Manténgase informado de las últimas amenazas y riesgos en Internet.
- Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.
- Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).
Vía: Cronup