El RAT está aumentando en 2020, volviéndose más frecuente que incluso el infame malware TrickBot o Emotet
Desde que el COVID-19 lo puso de moda en marzo, el troyano de acceso remoto Agent Tesla (RAT) ha explotado la pandemia y ha agregado una serie de funciones que lo han ayudado a dominar la escena de amenazas empresariales.
Aunque el Agente Tesla causó sensación por primera vez hace seis años, no ha perdido ningún impulso; de hecho, aparece en más ataques en la primera mitad de 2020 en comparación con el infame malware TrickBot o Emotet , según SentinelLabs de SentinelOne. En abril, por ejemplo, se vio en campañas específicas contra la industria del petróleo y el gas.
Este éxito continuo en el ataque a las empresas se debe a su capacidad continua para adaptarse al último panorama cibernético, señaló la firma, con un nuevo pase de variantes que aparecen a lo largo del año hasta ahora. Recientemente, se ha estado propagando a través de campañas de phishing con temas de coronavirus, señaló Jim Walter, investigador principal de amenazas de SentinelOne, en una investigación publicada el lunes.
Históricamente especializados en el registro de teclas y el robo de datos, los nuevos archivos binarios del Agente Tesla ofrecen "métodos de difusión e inyección más sólidos, así como el descubrimiento y robo de detalles y credenciales de redes inalámbricas", escribió Walter.
Además, ahora puede recopilar datos de configuración y credenciales de varios clientes VPN comunes, clientes de correo electrónico y FTP y navegadores web, dijo el investigador. Esto incluye Apple Safari, BlackHawk, Brave, CentBrowser, Chromium, Comodo Dragon, CoreFTP, FileZilla, Google Chrome, Iridium, Microsoft IE y Edge, Microsoft Outlook, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera, Opera Mail, Qualcomm Eudora, Tencent QQBrowser y Yandex, entre otros.
"El malware tiene la capacidad de extraer credenciales del registro, así como archivos de configuración o de soporte relacionados", explicó Walter. "Los datos recolectados se transmiten al servidor de comando y control (C2) a través de SMTP o FTP. El método de transferencia está determinado por la configuración interna del malware, que también incluye las credenciales (FTP o SMTP) para el C2 del atacante".
Otro nuevo truco para este antiguo RAT es el hecho de que las variantes buscarán ahora ejecutables secundarios para instalar en la máquina de la víctima y luego inyectarán código en esos binarios de segunda etapa, como un método de detección de evasión. Las variables también intentarán inyectarse en binarios conocidos (y vulnerables) ya presentes en los hosts de destino.
En una campaña, el equipo de Walter observó que el Agente Tesla soltaba una copia de RegAsm.exe e inyectaba código adicional en ella. Posteriormente, RegAsm.exe se convirtió en responsable de manejar los principales trabajos de recolección y exfiltración de datos. La inyección se realiza mediante el proceso de vaciado, señaló la investigación, en el que las secciones de la memoria no están mapeadas (vaciadas) y ese espacio luego se reasigna con el código malicioso deseado.
Se pueden ver otras mejoras en el comportamiento de ejecución del malware. Al iniciarse, el malware recopila información del sistema local, instala el módulo keylogger e inicializa rutinas para descubrir y recolectar datos. Parte de este proceso incluye la capacidad de descubrir la configuración y las credenciales de la red inalámbrica.
"El agente Tesla ha existido durante varios años y, sin embargo, todavía lo vemos utilizado como un producto básico en muchos sofisticados ataques de bajos a leves", concluyó Walter. "Los atacantes evolucionan continuamente y encuentran nuevas formas de utilizar herramientas como el Agente Tesla con éxito mientras evitan la detección".