Malware Agente Tesla

Agent Tesla es un troyano de acceso remoto (RAT) basado en .Net y un ladrón de datos para obtener acceso inicial que a menudo se utiliza para Malware-As-A-Service (MaaS). En este modelo de negocio delictivo, los actores de amenazas conocidos como intermediarios de acceso inicial (IAB) subcontratan sus habilidades especializadas para explotar redes corporativas a grupos delictivos afiliados. Como malware de primera etapa, Agent Tesla proporciona acceso remoto a un sistema comprometido que luego se utiliza para descargar herramientas de segunda etapa más sofisticadas, incluido el ransomware. 

El Agente Tesla apareció por primera vez en 2014 y se disparó en la década de 2020, cuando se aprovechó para campañas de phishing con temática PPE de COVID-19. Agent Tesla envía correos electrónicos adjuntos con archivos .zip, .gz, .cab, .msi e .img y documentos de Microsoft Office con macros maliciosas de Visual Basic Application (VBA) para comprometer los sistemas de las víctimas. Las campañas de phishing de Agent Tesla son famosas por replicar con precisión el tono de comunicación y la plantilla visual de una empresa legítima, incluidos logotipos y fuentes.

Aunque las capacidades nativas de segunda fase del Agente Tesla no son tan sofisticadas como las de otras familias de malware, puede robar eficazmente una amplia gama de información sensible. Además, ofrece a los atacantes una interfaz fácil de usar para supervisar el proceso de ataque y descargar la información robada, lo que lo convierte en una opción de malware atractiva para los IAB.

Agent Tesla aprovecha varias vulnerabilidades de archivos adjuntos y técnicas evasivas para evitar ser detectado por los escáneres de malware y los filtros de spam. Una de estas técnicas evasivas consiste en cambiar repetidamente la dirección IP del servidor de comando y control (C2) del atacante y el dominio utilizado para enviar correos electrónicos de phishing para evitar ser reconocido. Otra técnica sigilosa de Agent Tesla consiste en aleatorizar cadenas en su código fuente para que la firma de la carga útil no pueda compararse fácilmente con versiones anteriores. 

Una vez que su carga principal se ha descargado y ejecutado en el sistema del objetivo, Agent Tesla evalúa el entorno del sistema local para determinar si existen herramientas de depuración, virtualización o sandboxing. Sólo continúa descifrando los componentes posteriores de su carga principal si no hay herramientas de análisis de malware. A continuación, el malware se conecta a un servidor C2 para notificar al agresor que hay una nueva víctima disponible para seguir explotándola. 

El agente Tesla puede robar datos como credenciales de navegadores, clientes FTP y perfiles inalámbricos, pero su caso de uso más común es asegurar el acceso inicial que puede venderse en la Dark Web.

La capacidad de Agent Tesla para rotar direcciones IP C2 y modificar cadenas en su código fuente le permite evitar eficazmente la detección por parte de escáneres de malware y filtros de spam de correo electrónico. Sin embargo, dado que es más difícil para los desarrolladores de malware cambiar las tácticas, técnicas y procedimientos (TTP) de un malware, los productos de seguridad Endpoint Detection and Response (EDR) y Extended EDR (XDR) son eficaces a la hora de identificar los indicadores de compromiso (IOC) de Agent Tesla y bloquear la ejecución de su carga útil.

Las formas más efectivas de prevenir un ataque exitoso del Agente Tesla:

• Configurar los clientes de correo electrónico para que notifiquen a los usuarios cuando los mensajes procedan de fuera de la organización.
• Educar al personal sobre las técnicas de phishing y desarrollar procedimientos operativos estándar (SOP) para el manejo de correos electrónicos y documentos sospechosos.
• Reconocer el mayor riesgo que presentan los archivos de origen desconocido y verificar minuciosamente el contexto de dichos documentos antes de abrirlos.
• Asegúrese de que las aplicaciones de Office están configuradas con Desactivar todas las macros sin notificación o Desactivar todas las macros excepto las firmadas digitalmente configuración
• Preste especial atención a las notificaciones de advertencia de los clientes de correo electrónico y las aplicaciones de Office que pueden alertarle de contextos sospechosos, como archivos que no han sido analizados en busca de malware o que contienen macros VBA.
• Instalar y configurar productos avanzados de seguridad para puntos finales que escaneen los documentos cifrados inmediatamente después de descifrarlos e identifiquen los COI en la red y sus puntos finales.