Actualizado: 16 de ago de 2020
¿Que es Agent Tesla?
Agent Tesla es un malware de la categoría spyware que apareció en escena el año 2014 y que tiene origen en Turquía, los atacantes utilizan esta amenaza como software espía para capturar todo lo que sus víctimas han visto y digitado en el equipo infectado.
Este spyware está desarrollado en .NET y su objetivo es robar datos personales y transmitirlos de vuelta al servidor C2 (command and control). A través de este malware los atacantes pueden recoletar información almacenada de los navegadores web, clientes de correo electrónico, servidores FTP, generar capturas de pantalla, grabación de videos y capturar datos de formularios y del portapapeles entre otros.
En la siguiente imagen se pueden ver algunos aspectos de la configuración de Agent Tesla relacionados a la propagación, persistencia y evasión.
Hace algunos días (16 de Abril de 2020) los desarrolladores agregaron un nuevo módulo para el robo de contraseñas WIFI en la última versión de esta amenaza.
En un principio Agent Tesla fue distribuido desde su propio sitio web oficial, sin embargo, hoy en día es comercializado y vendido en múltiples foros y mercados negros.
La siguiente imagen muestra el uso de este RAT controlado vía Discord y configurado para exfiltrar la información recopilada a través de correo electrónico.
Distribución de Agent Tesla
Durante estos últimos meses, Agent Tesla se distribuyó activamente a través de campañas de SPAM en formatos como ZIP, RAR, CAB, MSI, GZ archivos IMG y documentos de Office.
A continuación, algunos ejemplos de los correos Phishing enviados en estas campañas.
También se han visto muestras en Chile como la siguiente imagen sobre una postulación a un trabajo de Asistente de Oficina: «currículum vítae».
Indicadores de Compromiso
IP addresses
- 166.62.27.188
- 204.11.56.48
- 103.14.97.90
- 109.234.162.66
- 77.83.117.234
- 192.99.76.30
- 166.62.30.148
- 192.3.201.45
- 198.54.114.253
- 216.170.123.125
- 162.222.225.57
- 101.0.114.117
- 192.185.129.218
- 37.48.118.232
- 166.62.10.29
- 91.230.195.25
- 23.94.30.178
- 173.237.190.12
- 34.192.250.175
- 199.192.18.215
Hashes
52cab28a79347f56ca7b663206bac0ab76bbbaf73677b130f19be10f03588db8
9f4004e25ae61864765b625576f07bfb9ba716d3e388bebcbaa02103967caada
154a9595bd4dd410afaca2104684d3669b6e1a2cabf9972e1ea97908bd87e123
6f892c01cea75a77e9e463f2e5ffb4cece022efad4f12bd8bce5e88231b4466c
8e62a4b14edc8edb5139ae4fd1cefca1b21ccad71f5b32f56bf09874dd00c00b
e652d3f2dbb95adf05bee3a4fecc3109f30bf72f416408dc668ffa6d96d358ce
a0e7c96b3d8c83441f059cb09fdf64a5f3b405b1869633364b41635c5e44ee03
835a89c8c7c0f560eb6f88644138465e0096bda946c63f26a7f1d7efd948ac6c
0b424045144e4acdf00fa69cef75a73329f0e5189524afa1089b46e939d65651
612eb7fa491ecf28f87918c67ba615105a62bcfd76489c9b6d726a57bfdf1d40
d30ef27af1f472767f36dd42663483dd6fed770480aa38f04fd63b32121091e9
0a7974f2976ff1cc435b6c0363fb7f0fc4274c6c5bc9338d633799d96f6fa486
eef5b473afc116806a551c0fa062e48beb54b8744517e7c60b618e7770115659
25ef4e7f8043d39588e572eb3078e69ffab2ac871a5910170b7febbc0245e5c6
ff278ebc92da79938de3a3e3efc7189862cd88d282b6a672fe94232279851be1
8bd594c519bfdf4968f6957c1ff7043c30483210dc9cffdf42c3b4b0764789b8
62ad6fc9e7c1a3a50d830e2c286f168645dcae1f879cf0f357f15b4b93d0f0e1
26668876c7ac29e8b467f3125574f7d4a9d4f93cd051e3c62565165a6430b480
2ea8aea32588adc91101d39a31889b9ca78bc443ddce93f6ea00916bb197595a
285dfcf7b80c7e082218135e3b93eecd1b623ef2a86c5d3bdf9c51978d1ee62f
Domains
smtp.papir-kiev.com
smtp.altrii.com
smtp.t10sport.com
smtp.shanghiacarelife.com
smtp.adenerqyeurope.co.uk
smtp.bethfels.org
smtp.erkonsentre.com
smtp.alakoto.us
smtp.prosqercnc.com
smtp.cimotec-de.com
smtp.suzyshier.us
smtp.ioeinc-tw.com
smtp.qoiti.com
smtp.dachanq.cc
smtp.recornit.com
smtp.continiental.com
smtp.capeqlc.net
smtp.mengatkhong.com
smtp.lettu.us
smtp.maizinternational.com
Recomendaciones de seguridad
- Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
- Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
- No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
- No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
- Manténgase informado de las últimas amenazas y riesgos en Internet.
- Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.
- Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).
Artículos relacionados
- https://malpedia.caad.fkie.fraunhofer.de/details/win.agent_tesla
- https://any.run/malware-trends/agenttesla
- https://krebsonsecurity.com/2018/10/who-is-agent-tesla/
- https://blog.malwarebytes.com/threat-analysis/2020/04/new-agenttesla-variant-steals-wifi-credentials/
