Sophos publicó hoy un nuevo informe sobre el malware Agent Tesla: "Agent Tesla aumenta los ataques de robo de información". En él, los especialistas en seguridad de TI describen cómo los atacantes utilizan nuevas técnicas para deshabilitar la protección de puntos finales antes de inyectar el malware en el sistema.
Agent Tesla es una herramienta de acceso remoto (RAT) ampliamente utilizada conocida desde 2014 y utilizada por los atacantes para el robo de datos; ahora han salido a la luz nuevas actualizaciones sobre los detalles de los ataques. Los creadores lo ofrecen a la venta en foros de la dark web y lo actualizan continuamente. Los ciberdelincuentes suelen distribuir el Agente Tesla como archivo adjunto a través de correos electrónicos no deseados.
El proceso de varias etapas penetra
Las técnicas cuentan con un proceso de varios pasos en el que un descargador de .NET toma piezas individuales de malware de sitios web oficiales de terceros, como pastebin y hastebin, y luego ensambla las piezas para causar estragos en el malware completo. Al mismo tiempo, el malware intenta modificar el código en la interfaz de software antimalware (AMSI) de Microsoft, una función de Windows que permite que las aplicaciones y los servicios se integren con los productos de seguridad instalados. Con esto, los ciberdelincuentes desactivan la protección de seguridad de punto final habilitada para AMSI, lo que permite que el malware se descargue, instale y ejecute sin ningún obstáculo.
El informe describe el procedimiento
El nuevo informe de Sophos detalla las dos versiones del Agente Tesla en circulación. Ambos tienen actualizaciones recientes, como la cantidad de aplicaciones destinadas al robo de credenciales. Esto incluye, entre otros, navegadores web, clientes de correo electrónico, clientes de redes privadas virtuales y otro software que almacena nombres de usuario y contraseñas. También es posible capturar pulsaciones de teclas y grabar capturas de pantalla.
Las diferencias entre las dos versiones muestran cómo los atacantes han evolucionado la RAT últimamente y ahora están empleando múltiples técnicas de ofuscación y evasión de seguridad. Estos incluyen opciones para instalar y usar el cliente de red anonimizador Tor, la API de mensajería de Telegram para la comunicación de comando y control (C2) y la orientación de AMSI de Microsoft.
El malware Agent Tesla existe desde hace más de siete años, pero sigue siendo una de las amenazas más comunes a las que se enfrentan los usuarios de Windows. Se encuentra entre las principales familias de malware distribuidas por correo electrónico en 2020. En diciembre, el agente Tesla representó alrededor del 20 por ciento de los ataques de correo electrónico maliciosos interceptados por los escáneres de Sophos”, dijo Michael Veit, evangelista tecnológico de Sophos. "Una variedad de atacantes usan el malware para robar las credenciales de los usuarios y otra información a través de capturas de pantalla, registro de teclado y captura del portapapeles".
Sophos recomienda lo siguiente para los administradores de TI
- Instalación de una solución de seguridad inteligente que comprueba, detecta y puede bloquear correos electrónicos sospechosos y sus archivos adjuntos antes de que lleguen a los usuarios.
- Creación de estándares de autenticación efectivos para verificar que los correos electrónicos son lo que dicen ser.
Capacite a los empleados para que reconozcan las señales de advertencia de correos electrónicos sospechosos y qué hacer cuando encuentren un correo electrónico sospechoso. - Anime a los usuarios a revisar los correos electrónicos para asegurarse de que provienen de la dirección y la persona que dicen ser.
Aconseje a los usuarios que nunca abran archivos adjuntos ni hagan clic en enlaces en correos electrónicos de remitentes desconocidos.
La protección para puntos finales de Sophos Intercept X detecta el malware del instalador Agent Tesla y RAT mediante tecnología de aprendizaje automático, así como firmas Troj/Tesla-BE y Troj/Tesla-AW.
Más información en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.