El agente actualizado Tesla encontró robando contraseñas de VPN y navegador
Según informes recientes, las nuevas cepas de Agent Tesla están actuando como un troyano que roba información y ahora se dedica a robar credenciales de aplicaciones como navegadores, VPN, detalles de FTP e información de correo electrónico.
Este malware está disponible para uso comercial. Este malware se basa en .Net framework y es un troyano keylogging que está activo en el mercado desde 2014.
En la situación actual, el malware Agent Tesla es popular entre varios estafadores de correo electrónico empresarial que utilizan este troyano para infectar a sus víctimas y rastrear sus pulsaciones de teclas y tomar capturas de pantalla de su máquina periódicamente.
El malware también se puede usar para robar datos del portapapeles, información del sistema e incluso para eliminar el antimalware y el proceso de análisis de software interno en computadoras específicas.
Entonces, técnicamente ninguna credencial es segura
Según un investigador llamado walter que analizó muestras recopiladas recientemente de malware de robo de información, encontró la amenaza como un código dedicado que se utiliza para recopilar tanto la configuración de la aplicación como las credenciales de usuario, así como de varias aplicaciones.
Él dice que el malware es capaz de extraer credenciales de la configuración del registro, así como la configuración relacionada o los archivos de soporte.
Además, también agregó que la mayoría de las aplicaciones como Chrome, Chromium, Safari, Brace, Filezilla, Firefox, Thunderbirt, OpenVPN, Outlook, etc.son solo algunas muestras que pueden ser fácilmente atacadas por las últimas cepas de malware Agent Tesla.
Una vez que el malware logra recolectar las credenciales y la información confusa de la aplicación, usa para entregar esa información a su servidor de comando y control a través de FTP o SMTP usando los detalles que vienen incluidos en su configuración interna.
Además, Walter ha descubierto que las cepas actuales del malware Agent Tesla a menudo soltarán o recuperarán ejecutables secundarios para inyectar o intentarán inyectar en binarios conocidos que ya están presentes en hosts específicos.
El malware Agent Tesla es actualmente un troyano ampliamente utilizado
En el escenario actual, el Agente Tesla es una de las variantes de malware más utilizadas en ataques dirigidos tanto a empresas como a usuarios domésticos, como se muestra en la lista de los 10 principales malware según el análisis de la plataforma interactiva de análisis de malware Any.Run durante la semana pasada.
En esta carrera, el malware de robo de información ampliamente conocido llamado Emotet está muy atrasado en el número de muestras enviadas para su análisis. En realidad, el Agente Tesla ocupa el segundo lugar en la lista de las amenazas de la semana pasada por el número de cargas en el mundo.
El malware Agent Tesla también ocupa el segundo lugar entre las 10 amenazas más frecuentes según los detalles publicados por Any.Run en diciembre del año pasado, ya que se cargó alrededor de más de 10,000 como muestra enviada el año pasado.
Entre el primer y el segundo trimestre de 2020, también se descubrió un aumento del 770% en la cantidad de botnets C2 asociadas con la familia de malware de robo de información, según los informes de actualización de amenazas de botnet de Spamhaus Malware Labs.
A principios de este año, en abril, una organización de análisis de seguridad llamada Malwarebytes descubrió que el Agente Tesla también se actualizó con un nuevo módulo que se dedica a robar contraseñas de redes Wi-Fi de computadoras infectadas.
Más tarde, Bitdefender también informó que los delincuentes han atacado a varias entidades pertenecientes a los sectores de la industria del gas y el petróleo en campañas de spearphishing altamente selectivas que han sido infectadas por los troyanos de carga útil del Agente Tesla.