Agent Tesla: principales características de este malware

Te explicamos qué es el Agente Tesla, cómo se propaga este malware y cuáles son las principales características según las muestras analizadas durante el primer trimestre de 2021.

¿Qué es el agente Tesla?

El agente de Tesla es un malware troyano de acceso remoto (RAT) que ha estado activo desde 2014 y se distribuye como Malware-as-a-Service (MaaS) en campañas globales.

Este malware está desarrollado con el framework .NET y se utiliza para espiar y robar información de computadoras comprometidas, ya que tiene la capacidad de extraer credenciales de diferentes software, obtener cookies de navegadores de Internet, registrar las pulsaciones de teclas en la máquina (Registro de teclas), así como tomar capturas de pantalla de la pantalla y el portapapeles (portapapeles). Este código malicioso utiliza diferentes métodos para enviar la información recopilada al atacante.

A su vez, se vio que esta amenaza puede incluirse en un empaquetador (envasador) con diferentes capas de deslumbramiento. Se utiliza para intentar escapar de las soluciones de seguridad y evitar el proceso de investigación y análisis de malware. Estos empaquetadores pueden implementar diferentes técnicas para obtener información de la máquina en la que se están ejecutando, para, por ejemplo, averiguar si es una máquina virtual o sandbox y, de ser así, evitar que se ejecute.

Estos empacadores también se vieron en otras campañas, como Operation Spalax.

Cómo se propaga el agente Tesla

Esta amenaza generalmente se propaga a través de correos electrónicos de phishing que incluyen un archivo adjunto malicioso con el que intentan engañar al usuario que recibe el correo electrónico para que descargue y ejecute ese contenido.

Por ejemplo, el agente de Tesla se distribuyó a través de correos electrónicos haciéndose pasar por empresas de servicios de logística reconocidas que incluían un archivo adjunto que parecía estar relacionado con el envío de un paquete, pero que en realidad era contenido malicioso.

En cuanto a los archivos adjuntos maliciosos, pueden variar, ya sea para engañar al usuario o para eludir las soluciones de seguridad. Por ejemplo, pueden ser archivos comprimidos, documentos de paquetes de Office o un archivo ejecutable, etc.

A su vez, el malware no siempre se encuentra directamente en estos archivos. A veces, estos archivos adjuntos solo se utilizan para descargar contenido malicioso de Internet y, por lo tanto, terminan infectando la máquina con el Agente Tesla, lo que hace que la cadena de infección sea más larga y más compleja de eliminar.

En el siguiente diagrama (Imagen 2) puede ver un ejemplo de cómo suele ser un proceso de infección con el Agente Tesla. En este caso, parte de un correo electrónico con contenido malicioso, pasando por diferentes fases en las que se descarga el código malicioso de una URL y se ejecuta, hasta que se ejecuta el payload final: Agente Tesla.

Características clave del agente Tesla

Nota: las siguientes características fueron las observadas en diferentes muestras analizadas durante el primer trimestre de 2021.

Tesla Agent tiene diferentes características y funcionalidades que le permiten realizar las acciones maliciosas mencionadas anteriormente.

Por un lado, tiene dos clases (clase) que contienen variables y métodos relacionados con la configuración. El comportamiento del malware puede variar ligeramente en relación con estas clases de configuración, pero es principalmente capaz de realizar las siguientes acciones:

• Persistencia en la máquina de la víctima.
• Desinstalar la amenaza
• Determinar el método de exfiltración de la información recopilada.
• Obtenga la IP pública de la máquina de la víctima
• Obtener información sobre la máquina de la víctima (sistema operativo, CPU, RAM, nombre de usuario, etc.)
• Tomar capturas de pantalla de la máquina de la víctima.
• Ejecuta un registrador de teclas

A su vez, en una de estas clases, puedes encontrar información como:

• Lista de programas destinados a robar información confidencial
• Ruta donde está instalada la amenaza
• Lista de navegadores para obtener cookies de ellos
• Credenciales o URL utilizadas para filtrar información

Por otro lado, el Agente Tesla buscará en la máquina de la víctima un software diferente y tratará de obtener información confidencial de ellos; por ejemplo, credenciales almacenadas.

Algunos de los programas a los que puede intentar acceder son:

• zorro de fuego
• cromo
• Brave Browser
• Amigo
• Navegador Opera
• Navegador Yandex
• Buzón
• Mailbird
• Panorama
• FTPCommander
• CoreFTP
• SmartFTP
• OpenVPN
• NordVPN

La información recopilada por cada uno de estos programas se almacena y luego se envía al atacante.

A su vez, realiza un procedimiento similar al mencionado anteriormente para extraer las cookies almacenadas en los navegadores de Internet instalados en la máquina de la víctima.

Una vez que el malware obtiene toda la información de la computadora, el atacante manipula la computadora para exfiltrarla.

El agente de Tesla tiene diferentes métodos para extraer información, por ejemplo:

• HTTP: envía la información a un servidor controlado por el atacante.
  • Para esta opción, el malware descarga, instala y usa el navegador TOR como proxy.
• SMTP: envía la información a una cuenta de correo electrónico controlada por el atacante.
• FTP: envía la información a un servidor FTP controlado por el atacante
• Telegram: envía la información a un chat privado de Telegram.

Finalmente, el Agente Tesla tiene la capacidad de ejecutar un keylogger y / o tomar capturas de pantalla en la máquina de la víctima. Estas funciones se realizarán según las opciones de sus clases de configuración. Después de cierto tiempo, la información se recopila y envía mediante el método de exfiltración elegido.

Consejos para protegerse

Algunas recomendaciones para recordar para evitar ser víctima de esta amenaza:

• Revise los datos del correo electrónico del remitente. Preste atención a:
  • La dirección postal y de dónde procede.
  • El nombre de la persona que nos envía el correo electrónico.
  • Revise el contenido del correo electrónico; por ejemplo, errores ortográficos.
• Si no hay indicios de que el correo electrónico sea malicioso, verifique que el destinatario sea válido.
• No abra ningún correo electrónico si hay motivos para sospechar, ya sea sobre el contenido o sobre la persona que lo envió.
• No descargue archivos adjuntos de correo electrónico si tiene dudas sobre su recibo o cualquier otra cosa.
• Verifique las extensiones de archivo. Por ejemplo, si un archivo termina en “.pdf.exe” la última extensión es la que determina el tipo de archivo, en este caso sería “.exe”; es decir, un ejecutable.
• Si un correo incluye un enlace que nos lleva a una página que nos pide nuestras credenciales para acceder, no las inserte, abra la página oficial en otro navegador u otra pestaña y acceda a ella desde allí.
• Tenga cuidado al descargar y extraer archivos comprimidos .zip, .rar, etc., independientemente de si la fuente del correo electrónico es legítima.
• Tener todos los equipos y aplicaciones actualizados a la última versión.
• Tener una política de cambio de contraseña periódico.
• Mantenga actualizadas las soluciones de seguridad instaladas en el dispositivo.

Técnicas MITTRE ATT y CK

Estas son algunas de las técnicas MITTER ATT & CK presentes en esta amenaza:

Táctica	Técnica (ID)	Nombre
Acceso inicial	T1566.001	Phishing: archivo adjunto de spearphishing
Persistencia	T1547.001	Inicio automático o ejecución de inicio de sesión: claves de ejecución de la carpeta de inicio / registro
Colección	T1115	Datos del portapapeles
	T1113	Imprimir pantalla
	T1114	Colección de correo electrónico
Exfiltración	T1041	Exfiltración en canal C2
	T1048	Exfiltración en protocolo alternativo