Agente Tesla Malware

O que é o malware Agent Tesla?

O Agent Tesla é um Trojan de Acesso Remoto (RAT) baseado em .Net e um ladrão de dados para obter acesso inicial que é frequentemente usado para Malware-As-A-Service (MaaS). Nesse modelo de negócios criminoso, os agentes de ameaças conhecidos como corretores de acesso inicial (IAB) terceirizam suas habilidades especializadas para explorar redes corporativas para grupos criminosos afiliados. Como malware de primeiro estágio, o Agent Tesla fornece acesso remoto a um sistema comprometido que, em seguida, é usado para baixar ferramentas mais sofisticadas de segundo estágio, incluindo ransomware

O Agent Tesla apareceu pela primeira vez em 2014 e aumentou na década de 2020 quando foi aproveitado para campanhas de phishing com o tema COVID-19 PPE. O Agent Tesla envia e-mails anexados com arquivos .zip, .gz, .cab, .msi e .img e documentos do Microsoft Office com macros maliciosas do Visual Basic Application (VBA) para comprometer os sistemas das vítimas. As campanhas de phishing do Agent Tesla são notórias por replicar com precisão o tom de comunicação e o modelo visual de uma empresa legítima, incluindo logotipos e fontes.

Embora os recursos nativos de segundo estágio do Agent Tesla não sejam tão sofisticados quanto os de outras famílias de malware, ele pode roubar com eficiência uma grande variedade de informações confidenciais. Ele também oferece aos atacantes uma interface fácil de usar para monitorar o processo de ataque e baixar as informações roubadas, o que o torna uma opção atraente de malware para os IABs.

Últimas notícias do Agente Tesla

Como funciona o Agente Tesla

O Agent Tesla explora várias vulnerabilidades diferentes de anexos de arquivos e técnicas evasivas para evitar a detecção por scanners de malware e filtros de spam. Uma dessas técnicas evasivas é alterar repetidamente o endereço IP do servidor de comando e controle (C2) do invasor e o domínio usado para enviar e-mails de phishing para evitar o reconhecimento. Outra técnica furtiva do Agent Tesla é randomizar as cadeias de caracteres em seu código-fonte para que a assinatura da carga útil não possa ser facilmente comparada a versões anteriores. 

Depois que sua carga útil primária é baixada e executada no sistema do alvo, o Agent Tesla avalia o ambiente do sistema local para determinar se há ferramentas de depuração, virtualização ou sandboxing. Ele só continua a descriptografar os componentes subsequentes de sua carga útil primária se as ferramentas de análise de malware não estiverem presentes. Em seguida, o malware se conecta a um servidor C2 para notificar o invasor de que uma nova vítima está disponível para exploração adicional. 

O Agent Tesla pode roubar dados como credenciais de navegadores, clientes FTP e perfis sem fio, mas seu caso de uso mais comum é proteger o acesso inicial que pode ser vendido na Dark Web.

Sinais de um ataque do agente Tesla

O Agent Tesla geralmente segue a mesma tática de ataque que outras linhagens de malware de acesso inicial (anexos de e-mail mal-intencionados) e pode ser indistinguível de outras campanhas de phishing à primeira vista. O nome de arquivo de anexo de e-mail mais comum usado pelo Agent Tesla é Supplier-Face Mask Forehead Thermometer.pdf.gz; sua campanha mais difundida até o momento foi um golpe de phishing do COVID-19 PPE .

As campanhas de phishing do Agent Tesla também utilizam uma tática relacionada ao typosquatting (também conhecido como sequestro de domínio), usando nomes de domínio semelhantes, mas ligeiramente alterados, aos das empresas que eles imitam. Os agentes da ameaça Agent Tesla também aproveitam as configurações incorretas dos servidores de e-mail corporativos, o que lhes permite enviar e-mails que parecem vir do domínio da empresa.

Como evitar um ataque do agente Tesla

A capacidade do Agent Tesla de alternar endereços IP C2 e modificar cadeias de caracteres em seu código-fonte permite que ele evite a detecção por scanners de malware e filtros de spam de e-mail de forma eficaz. No entanto, como é mais difícil para os desenvolvedores de malware alterar as táticas, técnicas e procedimentos (TTP) de um malware, os produtos de segurança EDR (Endpoint Detection and Response) e XDR (Extended EDR) são eficazes na identificação dos indicadores de comprometimento (IOCs) do Agent Tesla e no bloqueio da execução de sua carga útil.

As maneiras mais eficazes de evitar um ataque bem-sucedido do Agent Tesla:

  • Configure os clientes de e-mail para notificar os usuários quando os e-mails forem originados de fora da organização
  • Educar a equipe sobre técnicas de phishing e desenvolver procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos
  • Reconhecer o risco maior que os arquivos de origem desconhecida apresentam e verificar o contexto de tais documentos cuidadosamente antes de abri-los
  • Certifique-se de que os aplicativos do Office estejam configurados com Desativar todas as macros sem notificação ou Desativar todas as macros, exceto as assinadas digitalmente assinadas digitalmente
  • Preste atenção especial às notificações de aviso em clientes de e-mail e aplicativos do Office que podem alertá-lo sobre contextos suspeitos, como arquivos que não foram verificados quanto a malware ou que contêm macros VBA
  • Instale e configure produtos avançados de segurança de endpoints que farão a varredura de documentos criptografados imediatamente após serem descriptografados e identificarão IOCs na rede e em seus endpoints

CylanceGUARD para proteção contra malware

Como um serviço de XDR gerenciado 24x7x365 centrado no ser humano e baseado em assinatura, CylanceGUARD® oferece o conhecimento e o suporte de que as empresas precisam para prevenir e proteger contra ataques de ransomware. CylanceGUARD combina o conhecimento abrangente incorporado pelo BlackBerry Cybersecurity Services com a proteção de endpoints (EPP) baseada em IA por meio de CylancePROTECT®autenticação e análise contínuas por meio de CylancePERSONAe detecção e correção de ameaças no dispositivo por meio de CylanceOPTICS®. Em resumo, o site CylanceGUARD fornece aos negócios as pessoas e a tecnologia necessárias para proteger a empresa contra o cenário moderno de ameaças.
SAIBA MAIS

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos