Dos vectores de ataque

Dos vectores de ataque

Actualmente, el Agente Tesla sigue utilizándose en varias etapas de los ataques. Su capacidad para administrar y manipular persistentemente los dispositivos de las víctimas sigue siendo atractiva para los delincuentes de bajo nivel. El agente Tesla ahora puede recopilar datos de configuración y credenciales de varios clientes VPN comunes, clientes FTP y de correo electrónico y navegadores web. El malware tiene la capacidad de extraer credenciales del registro, así como archivos de configuración o de soporte relacionados.

Existen dos vectores de ataque:

Email

Durante las últimas semanas, los operadores de Agent Tesla han estado usando el correo electrónico como su método preferido para propagar esta amenaza. De la misma forma que otras familias de malware, se han utilizado correos fraudulentos suplantando la identidad de empresas legítimas para tratar que los usuarios abriesen los archivos adjuntos, archivos que inician el proceso de descarga y ejecución del malware.

Ejemplo de correo malicioso usado por Agent tesla – Fuente: Fortinet

Al contrario que otras amenazas que utilizan macros maliciosas incrustadas en documentos de Office para la primera fase de la infección, Agent Tesla utiliza directamente archivos ejecutables renombrados para que parezca que se trata de facturas o documentos.
Una vez se ejecuta en el sistema de la víctima, empieza a recopilar credenciales que estén asociadas o almacenadas en el software que esté instalado. Entre sus objetivos encontramos numerosos navegadores de Internet, clientes de correo, VPN, FTP y gestores de descargas. Una vez que el malware ha obtenido estas credenciales, las almacena en un formato específico y las envía a una dirección de email controlada por los atacantes usando el protocolo SMTP.

 

Módulo para robar contraseñas de WiFi.

Además de todas las funciones descritas hasta el momento, recientemente hemos sabido que las nuevas variantes de Agent Tesla incluyen un módulo dedicado específicamente a robar contraseñas de redes WiFi desde aquellos sistemas que ha infectado.
Estas nuevas variantes se encuentran fuertemente ofuscadas para dificultar su análisis, y los atacantes lograrían obtener las credenciales de la red WiFi mediante el uso del comando netsh, usado normalmente en tareas de gestión de redes. Para poder obtener la contraseña, el atacante tan solo tiene que lanzar el comando netsh junto con el identificador SSID de la red y el argumento “key=clear”.

Ejemplo de uso del comando netsh – Fuente: Bleeping Computer

Es muy probable que estas credenciales sean luego utilizadas para propagar la amenaza por otros sistemas que se encuentren en la misma red local, o incluso que sirvan para lanzar futuros ataques a los dispositivos conectados a ella.

Recomendaciones:

Instale software de seguridad en todos los dispositivos.
Y por el amor de Dios, asegúrese de que todos los dispositivos EN TODAS PARTES (sí, incluso en los hogares de sus empleados) estén ejecutando los sistemas operativos más recientes.

Conclusión

Como hemos visto, no son pocas las amenazas que están aprovechando la situación actual para conseguir nuevas víctimas.
Recordemos que la tecnología avanza cada día y de la misma manera, los piratas informáticos van modificando sus mecanismos de ataques para hacerlos cada vez más sofisticados, por eso debemos mantenernos a la vanguardia, para mantenerse informado de estas noticias le sugerimos continuar leyendo nuestro blog cada semana.

¡NEVEROFF TECHNOLOGY LO MANTENDRÁ INFORMADO!

No Comments

Post A Comment

× Contáctanos