Las nuevas variantes del troyano de acceso remoto Agent Tesla ahora vienen con módulos dedicados a robar credenciales de aplicaciones que incluyen navegadores web populares, software VPN, así como clientes de correo electrónico y FTP.
Agent Tesla ladrón de información basado en .Net disponible comercialmente con troyano de acceso remoto (RAT) y con capacidades de registro de teclas activas desde al menos 2014, es un malware muy popular entre los estafadores de correo electrónico comercial comprometido (BEC) que lo utilizan para infectar a sus víctimas para grabar pulsaciones de teclas y tomar capturas de pantalla de máquinas comprometidas.
También se puede utilizar para robar los datos del contenido del portapapeles de las víctimas, para recopilar información del sistema y para eliminar los procesos de análisis de software y antimalware.
Ninguna credencial es segura
Después de analizar muestras recopiladas recientemente del malware infostealer, Walter descubrió un código dedicado que se utiliza para recopilar datos de configuración de aplicaciones y credenciales de usuario de múltiples aplicaciones.
«El malware tiene la capacidad de extraer credenciales del registro, así como archivos de configuración o de soporte relacionados», explica el investigador senior de amenazas de SentinelOne, Jim Walter.
Google Chrome, Chromium, Safari, Brave, FileZilla, Mozilla Firefox, Mozilla Thunderbird, OpenVPN y Outlook son solo una pequeña muestra de todas las aplicaciones dirigidas por las últimas variantes de Agent Tesla RAT.
Una vez que recopila las credenciales y los datos de configuración de la aplicación, el infostealer los entregará a su servidor de comando y control (C2) a través de FTP o STMP utilizando las credenciales incluidas en su configuración interna.
«Las variantes actuales a menudo soltarán o recuperarán ejecutables secundarios para inyectar, o intentarán inyectar en binarios conocidos (y vulnerables) que ya están presentes en hosts específicos», descubrió Walter.
Aplicaciones específicas del Agente Tesla