Actualizaciones de Agent Tesla con nueva entrega y evasión …



Una nueva versión del troyano de acceso remoto tiene como objetivo la interfaz de software package anti-malware de Microsoft para evitar la detección de puntos finales.

Las versiones más recientes del malware Agent Tesla apuntan a más aplicaciones para el robo de credenciales, utilizan tácticas de comunicación actualizadas y empaquetan nuevas técnicas para eludir la defensa de endpoints.

Los investigadores de Sophos publicaron hoy un informe sobre las actualizaciones del Agente Tesla, una familia de malware troyano de acceso remoto (RAT) que se ha vuelto más popular en los últimos meses. Sus desarrolladores se están abrochando en la evasión de la defensa con varias técnicas, como apuntar a la Interfaz de program anti-malware de Microsoft (AMSI), para pasar por alto las herramientas de seguridad y permanecer persistentes en un dispositivo.

El agente Tesla, que se ofrece como una forma de malware como servicio, ha estado activo desde 2014 y sigue siendo una amenaza común para las máquinas con Home windows, informan los investigadores. Muchos atacantes lo usan para robar credenciales y otra información a través de capturas de pantalla, registro de teclado y captura del portapapeles.

En los últimos meses, el Agente Tesla ha continuado evolucionando y extendiéndose, y los investigadores de Sophos han detectado nuevas variantes en un número creciente de ataques durante los últimos 10 meses. A diciembre de 2020, el Agente Tesla constituía el 20% de los archivos adjuntos de correo electrónico de malware en la telemetría de sus clientes.

«Desde abril del año pasado, la cantidad de detecciones que hemos visto se ha disparado», dice Sean Gallagher, investigador senior de amenazas en Sophos.

Cita dos factores que impulsan su crecimiento: el modelo de negocio del agente Tesla ha madurado hasta el punto en que puede llegar a una audiencia más amplia, y sus desarrolladores han ofuscado el código de una manera que evita que los clientes más avanzados lo inviertan y lo utilicen cambiando partes eso.

«Creemos que la combinación de ellos con un modelo de negocio más maduro, más el aumento de la distribución de malware como servicio, con diferentes operadores de malspam, diferentes botnets que se utilizan para distribuir contenido malicioso a los objetivos, realmente ha aumentado su capacidad. para llegar a los clientes estafadores, los clientes de delitos cibernéticos a los que intentan llegar «, explica Gallagher.

El análisis de los investigadores investiga dos versiones activas de Agent Tesla, identificadas como la versión 2 y la versión 3. Si bien la funcionalidad de estas versiones es «en gran medida la misma», algunas diferencias reflejan cómo ha evolucionado la RAT y el enfoque de sus desarrolladores en eludir las defensas. Los cambios de la versión 2 son en su mayoría una ofuscación de la versión original la versión 3 trae más variación.

«Lo más preocupante es que realmente han reforzado su implementación de malware», dice sobre las versiones más nuevas del malware.

El agente Tesla generalmente llega como un archivo adjunto en un correo electrónico malicioso. Su primera etapa es un descargador basado en .Internet que extrae trozos de código ofuscado codificado en base64 para la segunda etapa de sitios website como Pastebin y «Hastebin», un clon de Pastebin. Después de descargar estos fragmentos, la etapa del descargador los une, decodifica y descifra para formar el cargador con la carga útil last.

Las versiones más recientes de Agent Tesla utilizan varios métodos para impedir el análisis estático y de espacio aislado. Además del uso de empaquetadores para ofuscar el código, los instaladores de malware de varias etapas también incorporan componentes que, en algunos casos, se alojan a simple vista en sitios internet legítimos. El instalador también intenta sobrescribir el código en Microsoft AMSI para que el software no sea efectivo.

Si la focalización de AMSI tiene éxito, interrumpe el software program de protección de endpoints que depende de él, explican los investigadores en un redacción de sus hallazgos. Y debido a que esto ocurre al principio del proceso de ejecución, bloquea cualquier protección de AMSI contra otros componentes del descargador de la primera etapa, el cargador de la segunda etapa o la carga útil closing del Agente Tesla.

Telegram, Tor y más trucos del agente Tesla
Agent Tesla v3 amplía la cantidad de aplicaciones destinadas a la recolección de credenciales. Su lista actual incluye Google Chrome, Firefox, OpenVPN, Opera, Yandex, Chromium, Outlook, OperaMail, SmartFTP, WinVNC4, WinSCP y FTPNavigator. El agente Tesla agrupa las credenciales robadas con los datos de huellas dactilares del host y las transmite una vez al comando y regulate (C2) durante la ejecución.

«La motivación para usar Agent Tesla es que puedo robar credenciales para servicios en la nube, puedo robar credenciales para correo electrónico empresarial, puedo robar credenciales para otro correo electrónico y puedo aprovechar esas cuentas para otros fines», explica Gallagher.

Tanto la v2 como la v3 del malware se pueden configurar para comunicarse a través de HTTP, SMTP y FTP. V3 agrega el protocolo de chat de Telegram como una opción para C2, por lo que los datos extraídos se pueden enviar a una sala de chat privada de Telegram. El protocolo de chat de Telegram es unidireccional.

Con el protocolo Telegram, los atacantes ni siquiera necesitan una dirección de correo electrónico para recibir datos robados, señala Gallagher, señalando que anteriormente no había visto mucho uso de Telegram entre los atacantes.

«Telegram es el nuevo C2», bromea. «Es algo que todos están agregando a su malware como una opción». Esta actualización al Agente Tesla lo hace más atractivo para los atacantes que no quieren operar mucha infraestructura. Durante mucho tiempo, los atacantes utilizaron SMTP para la comunicación C2 porque solo requiere una cuenta de correo electrónico. La opción del protocolo Telegram requiere aún menos.

V3 también ofrece la opción de usar un proxy Tor para mejorar las comunicaciones HTTP. Si se elige en el archivo de configuración, el malware descarga e instala un cliente Tor desde el sitio oficial de Tor. Esto ocultaría las comunicaciones, pero también podría ser una señal de advertencia para los equipos de seguridad.

«Si estuviera ejecutando una crimson organizacional y viese computadoras que nunca usaron Tor entrando en la pink Tor, eso sería una gran señal de alerta para mí», dice Gallagher. Debido a que las víctimas pueden no tener configurados firewalls para bloquear el tráfico Tor saliente, esa es otra preocupación.

Las versiones 2 y 3 también difieren en su ofuscación. En v2, hay una función para descifrar todas las cadenas para su ejecución. V3 tiene una función separada para cada cadena encriptada, y es una tarea mucho más ardua revertirlas todas. El objetivo de los atacantes es dificultar que los clientes vean el contenido serious y que la gente vea el código fuente, agrega.

A medida que mejora el malware, crece su foundation de usuarios
Cuando Sophos comenzó a observar al agente Tesla, se utilizó principalmente contra objetivos en Oriente Medio e India. Comenzando con la v2, apareció en Egipto y otros condados de EMEA, dice Gallagher. Con el tiempo, comenzó a generalizarse más, probablemente en función de los clientes que comenzaron a usarlo. El último lote se ha visto en Estados Unidos, Europa occidental y Australia.

«Esto ha pasado de ser una herramienta de nicho para un tipo individual de estafador cibernético … a ser una herramienta de aplicación bastante amplia», señala. Una de las razones por las que el Agente Tesla probablemente actualizó el malware es porque los atrapaban con más frecuencia y tenían menos éxito en su implementación.

La madurez evolutiva del malware estándar plantea la cuestión de cómo seguirá creciendo el uso tras la interrupción de la infraestructura de Emotet la semana pasada. Si bien Gallagher no cree que el impacto de la eliminación de Emotet dure a largo plazo, predice que el mercado de malware seguirá creciendo a medida que los desarrolladores continúen perfeccionando y vendiendo sus herramientas de ataque.

«Las personas que hacen esto mejoran cada vez más, (y) la gente tiende a centrarse en una herramienta que funciona», dice.

Con el tiempo, comenzaremos a ver la aparición de productos dominantes en categorías específicas, como robo de credenciales, puertas traseras y ejecución remota. Ya existe un mercado de malware básico que está ampliamente disponible, es personalizable y que cualquiera puede estar capacitado para usar, agrega, y existe una demanda de productos confiables entre los ciberdelincuentes de todo tipo.

«Dependen de productos probados y verdaderos para proporcionar las capacidades la infraestructura para que entren», dice Gallagher. «No quieren reconstruir la rueda».

Kelly Sheridan es la editora de individual de Dim Studying, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic