Portada » Home » Malware actualizado Agent Tesla roba contraseñas de navegadores

Malware actualizado Agent Tesla roba contraseñas de navegadores

Las nuevas variantes del troyano de acceso remoto Agent Tesla ahora vienen con módulos dedicados a robar credenciales de aplicaciones que incluyen navegadores web populares, software VPN, así como clientes de correo electrónico y FTP.

Agent Tesla ladrón de información basado en .Net disponible comercialmente con troyano de acceso remoto (RAT) y con capacidades de registro de teclas activas desde al menos 2014, es un malware muy popular entre los estafadores de correo electrónico comercial comprometido (BEC) que lo utilizan para infectar a sus víctimas para grabar pulsaciones de teclas y tomar capturas de pantalla de máquinas comprometidas.

También se puede utilizar para robar los datos del contenido del portapapeles de las víctimas, para recopilar información del sistema y para eliminar los procesos de análisis de software y antimalware.

Ninguna credencial es segura

Después de analizar muestras recopiladas recientemente del malware infostealer, Walter descubrió un código dedicado que se utiliza para recopilar datos de configuración de aplicaciones y credenciales de usuario de múltiples aplicaciones.

«El malware tiene la capacidad de extraer credenciales del registro, así como archivos de configuración o de soporte relacionados», explica el investigador senior de amenazas de SentinelOne, Jim Walter.

Google Chrome, Chromium, Safari, Brave, FileZilla, Mozilla Firefox, Mozilla Thunderbird, OpenVPN y Outlook son solo una pequeña muestra de todas las aplicaciones dirigidas por las últimas variantes de Agent Tesla RAT.

Una vez que recopila las credenciales y los datos de configuración de la aplicación, el infostealer los entregará a su servidor de comando y control (C2) a través de FTP o STMP utilizando las credenciales incluidas en su configuración interna.

«Las variantes actuales a menudo soltarán o recuperarán ejecutables secundarios para inyectar, o intentarán inyectar en binarios conocidos (y vulnerables) que ya están presentes en hosts específicos», descubrió Walter.

Aplicaciones específicas del Agente Tesla