El malware del agente Tesla ha sido actualizado con nuevos módulos de robo de credenciales.
Los investigadores de seguridad han descubierto nuevas variantes del malware del Agente Tesla que ahora incluyen módulos capaces de robar credenciales de muchas aplicaciones populares, como navegadores web, software de VPN y clientes de FTP y correo electrónico.
Descubierto por primera vez en 2014, el agente Tesla es un registrador de teclas y un ladrón de información que ha crecido en popularidad entre los ciberdelincuentes en los últimos dos años. El malware se vendió inicialmente en varios foros y mercados de hackers y sus creadores proporcionaron a los clientes el malware en sí, así como un panel de gestión para permitirles clasificar fácilmente los datos que recoge.
Jim Walter, investigador principal de amenazas de SentinelOne, descubrió el código dedicado que se utiliza para recopilar datos de configuración de aplicaciones y credenciales de usuario tras analizar varios ejemplares nuevos del malware del agente Tesla. Walter proporcionó más información sobre las capacidades de estos nuevos módulos en una entrada de blog, diciendo:
«En la actualidad, el agente Tesla sigue siendo utilizado en varias etapas de los ataques. Su capacidad para manejar y manipular persistentemente los dispositivos de las víctimas sigue siendo atractiva para los delincuentes de bajo nivel». El agente Tesla es ahora capaz de recolectar datos de configuración y credenciales de un número de clientes VPN comunes, clientes de FTP y correo electrónico, y navegadores web. El malware tiene la capacidad de extraer las credenciales del registro así como los archivos de configuración o de soporte relacionados».
Las variantes del agente Tesla
El análisis de SentinelOne de las últimas variantes del agente Tesla ha revelado que el malware puede ahora robar las credenciales de los usuarios de varias aplicaciones populares, incluyendo Google Chrome, Chromium, Safari, Mozilla Firefox, Microsoft Edge, Opera, Microsoft Outlook, Mozilla Thunderbird, OpenVPN y más.
Una vez que el malware recoge las credenciales y los datos de configuración de la aplicación de un programa específico, entrega esta información a su servidor de comando y control (C2) a través de FTP o STMP utilizando las credenciales incluidas en su configuración interna.
Walter también señaló en su entrada en el blog que las variantes actuales del agente Tesla a menudo «sueltan o recuperan ejecutables secundarios» que luego se inyectan en binarios conocidos y vulnerables en un host objetivo.
Aunque el agente Tesla existe desde hace años, los nuevos módulos que se han añadido al malware lo hacen aún más eficaz para robar datos de los usuarios.