Santiago, 17 de junio de 2022 – El CSIRT de Gobierno (csirt.gob.cl) informó sobre un prominente software malicioso tipo RAT (o troyano de acceso remoto), denominado Agent Tesla, destinado principalmente a robar información de sus víctimas.
El troyano de acceso remoto contempla varias capas de ofuscación, lo que le hace difícil de detectar (por ejemplo, el programa malicioso puede saber si está siendo abierto en una sandbox y evitar su ataque) y además despliega técnicas para ser una amenaza persistente, todas características que explican su extendida popularidad, siendo conocido desde 2014.
Es así como se han identificado diversas campañas que utilizan este malware a través de su difusión a través de correos electrónicos, que aprovechan la contingencia del momento, como la invasión de Rusia a Ucrania o anteriormente mediante falsos e-mails de DHL en castellano.
Una vez desplegado, Agent Tesla realiza numerosas operaciones de espionaje en un equipo:
- Registra lo que se digita (keylogging).
- Toma capturas de pantalla.
- Ve y copia lo que hay en el Portapapeles.
- Roba contraseñas y cookies de múltiples
programas, incluyendo:
- Decenas de buscadores web, incluyendo Google Chrome, Microsoft Edge, Mozilla Firefox y Opera.
- VPN como Open VPN y NordVPN.
- Microsoft Outlook
- Recopila información como nombre del equipo, sistema operativo, CPU, RAM, TCP hostname, cliente DNS, IP pública, dominio y más.
Luego de tomar esta información, el malware la filtra al ciberdelincuente, comunicación que mantiene anónima usando un cliente TOR. Del mismo modo se comunica con su servidor de comando y control. También puede comunicarse con el atacante a través del protocolo SMTP de correo electrónico, o incluso por Telegram.
Otra de las características de Agent Tesla es su capacidad de incorporarse a Registry como programa de inicio para establecer su persistencia, ya que así el RAT se inicia cada vez que se reinicie el equipo.
Su despliegue se realiza principalmente a través de correos de phishing, los que traen adjuntos de cualquier tipo, incluyendo los más tradicionales, como archivos comprimidos, ejecutables y documentos de Office. También pueden descargarse a través de Torrent, páginas web falsas o avisos maliciosos que contengan el troyano.
Muchas veces el engaño es, irónicamente, la oferta de una actualización o programa de seguridad. Es importante siempre descargar nuestras actualizaciones de los sitios oficiales de los proveedores de software.
Para hacer frente a esta amenaza, CSIRT de Gobierno recomienda las siguientes medidas:
- Mantener todos sus programas y especialmente antivirus, antimalware, firewall y otros softwares de seguridad actualizados, junto con mantener un esquema de parchados regulares.
- Reforzar todas las protecciones que debemos
tener ante el phishing, principalmente nunca hacer clic en enlaces provenientes
de mensajes no solicitados de email, SMS o redes sociales.
- Revisar que el mensaje provenga realmente de quien dice venir y si hay dudas llamar directamente al remitente para saber si el mensaje es real.
- Fijarse en la extensión del archivo. La última porción es la que determina de qué tipo de archivo se trata. Si dice .pdf .exe, por ejemplo, significa que es un archivo ejecutable.
- Tampoco ingresar sus credenciales a un sitio abierto desde un enlace. Mejor abrir directamente la página que queremos escribiendo su dirección en el navegador.
- No hacer descargas de archivos sospechosos, como películas o juegos piratas.
- Desactivar los macros en documentos que llegan por email.
Evitar entregar privilegios de Administrador a usuarios, y solo acceder a como Administrador a los equipos por el tiempo que sea necesario. Evitar abrir documentos mientras se está logueado como Administrador.
