Malware actualizado Agent Tesla roba contraseñas de navegadores
agosto 12, 2020Las nuevas variantes del troyano de acceso remoto Agent Tesla ahora vienen con módulos dedicados a robar credenciales de aplicaciones que incluyen navegadores web populares, software VPN, así como clientes de correo electrónico y FTP. Agent Tesla ladrón de información basado en .Net disponible comercialmente con troyano de acceso remoto (RAT) y con capacidades de registro […]
Las nuevas variantes del troyano de acceso remoto Agent Tesla ahora vienen con módulos dedicados a robar credenciales de aplicaciones que incluyen navegadores web populares, software VPN, así como clientes de correo electrónico y FTP.
Agent Tesla ladrón de información basado en .Net disponible comercialmente con troyano de acceso remoto (RAT) y con capacidades de registro de teclas activas desde al menos 2014, es un malware muy popular entre los estafadores de correo electrónico comercial comprometido (BEC) que lo utilizan para infectar a sus víctimas para grabar pulsaciones de teclas y tomar capturas de pantalla de máquinas comprometidas.
También se puede utilizar para robar los datos del contenido del portapapeles de las víctimas, para recopilar información del sistema y para eliminar los procesos de análisis de software y antimalware.
Ninguna credencial es segura
Después de analizar muestras recopiladas recientemente del malware infostealer, Walter descubrió un código dedicado que se utiliza para recopilar datos de configuración de aplicaciones y credenciales de usuario de múltiples aplicaciones.
“El malware tiene la capacidad de extraer credenciales del registro, así como archivos de configuración o de soporte relacionados”, explica el investigador senior de amenazas de SentinelOne, Jim Walter.
Google Chrome, Chromium, Safari, Brave, FileZilla, Mozilla Firefox, Mozilla Thunderbird, OpenVPN y Outlook son solo una pequeña muestra de todas las aplicaciones dirigidas por las últimas variantes de Agent Tesla RAT.
Una vez que recopila las credenciales y los datos de configuración de la aplicación, el infostealer los entregará a su servidor de comando y control (C2) a través de FTP o STMP utilizando las credenciales incluidas en su configuración interna.
“Las variantes actuales a menudo soltarán o recuperarán ejecutables secundarios para inyectar, o intentarán inyectar en binarios conocidos (y vulnerables) que ya están presentes en hosts específicos”, descubrió Walter.
Aplicaciones específicas del Agente Tesla
Artículos relacionados
Atacantes se aprovechan de las opciones de omisión de MFA para las adquisiciones de cuentas
11 de agosto de 2020Un aumento en los ataques de correo electrónico empresarial se atribuye a compromisos exitosos de autenticación multifactor (MFA) y controles de acceso condicional, según investigadores.
Vulnerabilidades de ‘Find My Mobile’ expusieron a teléfonos Samsung Galaxy a ataques
12 de agosto de 2020Una serie de vulnerabilidades que afectan a Find My Mobile de Samsung podrían haber provocado la ejecución de actividades maliciosas en los celulares Galaxy, reveló un investigador de Char49 en la conferencia DEF CON .
