Malware Agent Tesla

Publicado hace 4 meses 06-05-2024

Agent Tesla es una aplicación maliciosa (malware) de acceso remoto (RAT) que se utiliza para robar información confidencial de los dispositivos infectados. Es conocido por sus capacidades de registro de "pulsaciones" de teclas, captura de pantalla y robo de datos de aplicaciones y navegadores en general. Se propaga principalmente a través de correos electrónicos de phishing y puede ser utilizado para una variedad de propósitos maliciosos muy diversa, incluyendo el robo de credenciales, información financiera y datos corporativos sensibles.

El malware está desarrollado en el lenguaje de programación .NET. Es controlado a través de un servidor C2 (Comando y Control), y utiliza varios métodos de exfiltración de datos, como el FTP, SMTP, Paneles Web, o incluso Bots de telegram.

Los principales vectores de ataque de Agent Tesla son el phishing y spear-phishing, que pueden contener archivos comprometidos o vínculos a sitios web maliciosos, amenazando con secuestrar la información de un usuario [1]. Se ha detectado que el malware se aprovecha de una vulnerabilidad de severidad alta de 2017 en IBM, identificada como CVE-2017-1182, con un puntaje CVSSv3 de 7.5, que podría permitirle a un atacante ejecutar códigos maliciosos en el sistema [5] [6]


Figura 1. Ejemplo de Phishing [6]

Esta amenaza puede ocultarse dentro de un empaquetador (packer) que utiliza varias capas de ofuscación para evadir las soluciones de seguridad y dificultar su análisis. Estos empaquetadores pueden obtener información sobre la máquina en la que se ejecutan, como si es una máquina virtual o un sandbox, y evitar su ejecución si la detectan.

Las principales funciones con las que cuenta el malware Agent Tesla son:

  1. Keylogging: Registrar las entradas del teclado para poder robar información como posibles contraseñas y nombres de usuario, así como información confidencial.
  2. Realizar capturas de pantalla.
  3. Recopilar información del sistema.
  4. Ejecutar códigos maliciosos.
  5. Descargar malware adicional.

Se conoce su uso en campañas que apuntan a organizaciones de Estados Unidos, la Unión Europea, países asiáticos y del medio este. Sin embargo, las principales industrias en las que se ha detectado este malware son:
  1. Finanzas
  2. Salud
  3. Tecnología
  4. Producción
  5. Energía
  6. Gobierno
  7. Militar
 En un análisis técnico hecho por EchoCTI a un archivo de Agent Tesla llamado “DHL9407155789[.]exe”, se analizó el código del malware, y se encontró que se hace una petición get a "https://api[.]ipify.org", y roba información de múltiples navegadores que pueden estar instalados en los sistemas de la víctima, entre ellos están los siguientes:
  • PaleMoon
  • CentBrowser
  • Citrio
  • Amigo
  • Uran
  • Coowon
  • Comodo Dragon
  • Postbox
  • Firefox
  • SeaMonkey
  • Coccoc
  • QIP Surf
  • Thunderbird
  • Chedot
  • Yandex Browser
  • Iridium Browser
  • Kometa
  • gent Tesla 9 echocti.com
  • Elements Browser
  • Edge Chromium
  • BlackHawk
  • Epic Privacy
  • IceCat
  • Chrome
  • Torch Browser
  • Liebao Browser
  • Cool Novo
  • Opera Browser
  • CyberFox
  • Sputnik
  • Chromium
  • Orbitum
  • Brave
  • 7Star
  • 360 Browser
  • K-Meleon
  • Flock
  • Vivaldi
  • WaterFox
  • Sleipnir 6
  • IceDragon

Después, logra controlar algunas configuraciones de estos navegadores a su beneficio, recopilando la información de las siguientes configuraciones:
  • "origin_url"
  • "action_url"
  • "username_element"
  • "username_value"
  • "password_element"
  • "password_value"
  • "submit_element"
  • "signon_realm"
  • "date_created"
  • "blacklisted_by_user"
  • "scheme"
  • "password_type"
  • "times_used"
  • "form_data"
  • "display_name"
  • "icon_url"
  • "federation_url"
  • "skip_zero_click"
  • "generation_upload_status"
  • "possible_username_pairs"
  • "id"
  • "date_last_used"
  • "moving_blocked_for"
  • "date_password_modified"
  • "sender_email"
  • "sender_name"
  • "date_received"
  • "sharing_notification_displayed"
  • "keychain_identifier"
  • "sender_profile_image_url"


La información recopilada se guarda como objetos en listas, y es convertida a formato de texto. Después, la información es enviada vía correo electrónico a "johnjohnjohn[@]childs-plays[.]com". Otras propiedades del objeto de correo son las siguientes:

  • SMTP server name: smtp.childs-plays.com
  • SMTP sender: johnjohn[@]childs-plays[.]com
  • SMTP reciever: johnjohn[@]childs-plays[.]com
  • Media type: text/html
  • SmtpSSL: false
  • SMTP port: 587
  • SMTP client username: johnjohn[@]childs-plays[.]com
  • SMTP client password: yuttrge7v
Finalmente, se concluye que la complejidad de la campaña del Malware Agent Tesla plantea importantes desafíos para los mecanismos de detección tradicionales. Los equipos de seguridad deben aprovechar las técnicas avanzadas de inteligencia y análisis de amenazas para identificar y mitigar eficazmente las amenazas que emanan de esta campaña [3].

Taxonomía de ataque de MITTRE ATT&CK.
 
Técnica Táctica ID
Discovery File and Directory Discovery T1083
Discovery Query Registry T1012
Discovery Information Discovery T1082
Credential Access Credentials in Files T1552.001
Defense Evasion Software Packing T1406.002
Collections Data From Local System T1005
Command and Control Web Service T1102


Figura 2. Taxonomía del ataque [6]

Recomendaciones

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.

Indicadores de compromiso
 
Tipo Indicador de compromiso
Dominio www.abctech.life
Dominio www.solarpowerengage.life
Dominio ctlegal-hk.com
FileHash-SHA256 ba90ef60026941ceb864030807a630b6da91b665bf51eb affd200ada5a4864ae
FileHash-SHA256 fc6e93537ccf54a7180d497d2abe10bcad6213ae8b2fc21 983f8558e58030e4e
FileHash-SHA256 fcea048c985f1994d10d25dad5f5d6ea08fbbe03de24755 6b222dcf84e07a4da
FileHash-SHA256 37ac69abe12f3ec977df53efd9e10a1c2f40eba5fab217cb ce4e0fb5452c669f
FileHash-SHA256 96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3 d6932665c1a4c87dcf7
FileHash-SHA256 d9b1d72dec9430f7bddc386ee8a621a9138f59cb921ee7 25fc592725d29785ac
IP 35.186.223.180
IP 197.211.58.219
IP 69.57.161.215
IP 128.140.99.99
IP 190.5.88.142

 

Referencias

[1] Raymond, N. (2024, abril 10). Agent Tesla: The Punches Keep Coming. Cofense. Recuperado el 6 de mayo de 2024 en: https://cofense.com/blog/agent-tesla-the-puncheskeep-coming/
[2] CSIRT Financiero. (2024, mayo 4). Nueva actividad maliciosa de Agent Tesla. Recuperado el 6 de mayo de 2024 en: https://csirtasobancaria.com/nueva-actividad-maliciosa-deagent-tesla
[3] Brunsdon, D. (2024, abril 29). AGENT TESLA UNMASKED: REVEALING INTERRELATED CYBER CAMPAIGNS. Hyas. Recuperado el 6 de mayo de 2024 en: https://www.hyas.com/blog/agent-tesla-unmasked-revealing-interrelated-cybercampaigns
[4] CSIRT de Gobierno. (2024, mayo 3). DHL – Suplantación con malware. Recuperado el 6 de mayo de 2024 en: https://csirt.gob.cl/alertas/cmv24-00461/
[5] https://nvd.nist.gov/vuln/detail/CVE-2017-1182
[6] Tavella, F. (2024, abril 28). Agent Tesla: principales características de este malware. WeLiveSecurity. Recuperado el 6 de mayo de 2024 en: https://www.welivesecurity.com/la-es/2021/04/28/agent-tesla-principales-caracteristicas-este-malware/
[7] NIST CFS. (2024, febrero 26). NIST Releases Version 2.0 of Landmark Cybersecurity Framework. NIST. Recuperado el 6 de mayo de 2024 en: https://www.nist.gov/newsevents/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework
 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 1 hora 19-09-2024

Broadcom ha publicado el pasado 17 de septiembre un aviso de seguridad en el que se mencionan 2 vulnerabilidades que afectan a su software de virtualización VMware. Específicamente, las vulnerabilidades son:  CVE-2024-38812, con un puntaje CVSS de 9.8, se cl......

Incidente de Seguridad Fortinet
Publicado hace 6 días 12-09-2024

Fortinet, uno de los principales actores en el sector de la ciberseguridad, ha confirmado una violación de datos tras la afirmación de un atacante de haber sustraído archivos del servidor Microsoft SharePoint de la compañía. Como una de las emp......

Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024

Microsoft, al igual que otros fabricantes, calendariza sus noticias sobre seguridad cada segundo martes de cada mes, lo cual llaman "Patch Tuesday". En este mes de septiembre de 2024, publicó en su página de Security Update Guide su aviso sobre ciberseguri......

BOLETINES RECIENTES

...
Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 1 hora 19-09-2024
Leer más
...
Incidente de Seguridad Fortinet
Publicado hace 6 días 12-09-2024
Leer más
...
Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024
Leer más