Los investigadores de seguridad descubrieron el martes nuevas técnicas de entrega y evasión adoptadas por el troyano de acceso remoto (RAT) Agent Tesla para sortear las barreras de defensa y monitorear a sus víctimas.
El software espía de Windows, que generalmente se propaga a través de señuelos de ingeniería social, no solo se dirige ahora a la Interfaz de escaneo antimalware (AMSI) de Microsoft en un intento de derrotar al software de protección de puntos finales, sino que también emplea un proceso de instalación de varias etapas y utiliza la API de mensajería Tor y Telegram para comunicarse. con un servidor de mando y control (C2).
La firma de seguridad cibernética Sophos, que observó dos versiones del Agente Tesla, la versión 2 y la versión 3, actualmente en libertad, dijo que los cambios son otra señal de la evolución constante del Agente Tesla diseñada para dificultar un análisis estático y de sandbox.
«Las diferencias que vemos entre v2 y v3 de Agent Tesla parecen centrarse en mejorar la tasa de éxito del malware contra las defensas de sandbox y los escáneres de malware, y en brindar más opciones de C2 a sus clientes atacantes», señalaron los investigadores de Sophos.
Agente Tesla, un registrador de teclas y ladrón de información basado en .NET, se ha implementado en una serie de ataques desde finales de 2014, con características adicionales incorporadas con el tiempo que le permiten monitorear y recopilar la entrada del teclado de la víctima, tomar capturas de pantalla y filtrar las credenciales pertenecientes a un variedad de software, como clientes VPN, FTP y clientes de correo electrónico, y navegadores web.
En mayo pasado, durante el apogeo de la pandemia, se descubrió que una variante del malware se propagaba a través de campañas de spam con temática de COVID para robar contraseñas de Wi-Fi junto con otra información, como las credenciales de correo electrónico de Outlook, de los sistemas de destino.
Luego, en agosto de 2020, la segunda versión de Agent Malware aumentó la cantidad de aplicaciones destinadas al robo de credenciales a 55, cuyos resultados luego se transmitieron a un servidor controlado por el atacante a través de SMTP o FTP.
Si bien el uso de SMTP para enviar información a un servidor de correo controlado por el atacante se detectó en 2018, también se descubrió que una de las nuevas versiones identificadas por Sophos aprovechaba el proxy Tor para las comunicaciones HTTP y la aplicación de mensajería API de Telegram para transmitir la información. a una sala de chat privada.
Además de esto, el proceso de instalación de malware de varias etapas del Agente Tesla ha recibido una actualización significativa, con el descargador de malware de la primera etapa que ahora intenta modificar el código en AMSI en un intento por omitir los escaneos de las cargas maliciosas de la segunda etapa obtenidas de Pastebin (o Hastebin) .
Esta carga útil provisional, que son fragmentos de código codificado en base64 ofuscado, se decodifica temporalmente para recuperar el cargador que se usa para inyectar el malware Agent Tesla.
AMSI es un estándar de interfaz que permite que las aplicaciones y los servicios se integren con cualquier producto antimalware existente que esté presente en una máquina con Windows.
Además, para lograr la persistencia, el malware se copia a sí mismo en una carpeta y establece los atributos de esa carpeta en «Oculto» y «Sistema» para ocultarlo de la vista en el Explorador de Windows, explicaron los investigadores.
«El método de entrega más extendido para el Agente Tesla es el spam malicioso», dijeron los investigadores de amenazas de Sophos, Sean Gallagher y Markel Picado.
«Las cuentas de correo electrónico utilizadas para propagar el Agente Tesla a menudo son cuentas legítimas que se han visto comprometidas. Las organizaciones y las personas deben, como siempre, tratar los archivos adjuntos de correo electrónico de remitentes desconocidos con precaución y verificar los archivos adjuntos antes de abrirlos».
