Agent Tesla es un malware del tipo remote access trojan (RAT) que está activo desde 2014 y que es distribuido como un Malware-as-a-Service (MaaS) en campañas a nivel global.
Este malware está desarrollado con el framework .NET y es utilizado para espiar y robar información de los equipos comprometidos, ya que cuenta con la capacidad de extraer credenciales de distintos software, obtener cookies de navegadores de Internet, registrar las pulsaciones del teclado de la máquina (Keylogging), así como realizar capturas de pantalla y del clipboard (portapapeles). Este código malicioso utiliza distintos métodos para el envío de la información recopilada hacia el atacante.
A su vez, se ha visto que esta amenaza puede venir incluida dentro de un empaquetador (packer) con distintas capas de ofuscación. Esto es utilizado para tratar de evadir las soluciones de seguridad y dificultar el proceso de investigación y análisis del malware. Estos empaquetadores pueden implementar distintas técnicas para obtener información de la máquina sobre la que se está ejecutando, para, por ejemplo, averiguar si es una máquina virtual o una máquina sandbox, y en caso de ser así, evitar su ejecución.
Esta amenaza suele propagarse por medio de correos electrónicos de phishing que incluyen un archivo adjunto malicioso con el cual buscan engañar al usuario que recibe el correo para hacer que descargue y ejecute este contenido.
Por ejemplo, se ha visto distribuir Agent Tesla a través de correos que suplantaban la identidad de conocidas empresas de servicios de logística, y en los cuales se incluía un archivo adjunto que parecía tener relación con el envío de un paquete, pero que en realidad era contenido malicioso.
Con respecto a los archivos maliciosos adjuntos, los mismos pueden variar, ya sea para engañar al usuario como también para evadir las soluciones de seguridad. Por ejemplo, pueden ser archivos comprimidos, documentos del paquete Office o un archivo ejecutable, etc.
A su vez, el malware no siempre se encuentra directamente en estos archivos. En ocasiones estos archivos adjuntos son utilizados solamente para descargar contenido malicioso desde Internet y de esta manera terminar infectando la máquina con Agent Tesla, haciendo que la cadena de infección sea más larga y compleja para darla de baja.
Agent Tesla cuenta con distintas características y funcionalidades que le permiten realizar las acciones maliciosas mencionadas anteriormente.
Por un lado, tiene dos clases (class) que contienen variables y métodos relacionados a la configuración. De estas clases de configuración el malware puede variar un poco en su comportamiento, pero principalmente es capaz de realizar las siguientes acciones:
- Persistencia en la máquina de la víctima
- Desinstalación de la amenaza
- Determinar el método de exfiltración de la información recolectada
- Obtener la IP publica de la máquina de la victima
- Obtener información de la máquina víctima (sistema operativo, CPU, RAM, nombre de usuario, etc.)
- Tomar capturas de pantalla de la máquina de la víctima
- Ejecutar un keylogger
A su vez, en una de estas clases se puede encontrar información como:
- Listado de programas a los que apunta para robar información sensible
- Ruta donde se instala la amenaza
- Listado de navegadores para obtener las cookies de los mismos
- Credenciales o URL utilizadas para exfiltrar información
Por otro lado, Agent Tesla va a ir buscando en la máquina de la víctima la existencia de distintos softwares e intentará obtener información sensible de los mismos; por ejemplo, credenciales almacenadas.
Alguno de los softwares a los que puede intentar acceder son:
- Firefox
- Chrome
- Brave Browser
- Amigo
- Opera Browser
- Yandex Browser
- Postbox
- Mailbird
- Outlook
- FTPCommander
- CoreFTP
- SmartFTP
- OpenVPN
- NordVPN
La información recopilada por cada uno de estos programas es almacenada para luego ser enviada al atacante.
A su vez, realiza un procedimiento similar al mencionado anteriormente para extraer las cookies almacenadas en el o los navegadores de Internet instalados en la máquina de la víctima.
Una vez que el malware consiguió toda la información del equipo, el atacante manipulará la computadora para exfiltrarla.
Agent Tesla tiene distintos métodos para realizar la exfiltración de información, por ejemplo:
- HTTP: Envía la información hacia un servidor controlado por el atacante.
- Para esta opción el malware descarga, instala y usa como proxy el navegador TOR.
- SMTP: Envía la información hacia una cuenta de correo electrónico controlada por el atacante.
- FTP: Envía la información hacia un servidor FTP controlado por el atacante
- Telegram: Envía la información hacia un chat privado de Telegram.
