Análisis de malware
Agente Tesla: qué es, cómo funciona y por qué se dirige a las empresas de energía
julio 2, por Daniel Dimov
Introducción al Agente Tesla
El agente Tesla apareció por primera vez en, pero recientemente se ha utilizado para atacar a empresas energéticas que operan en diversos campos. Estos campos incluyen el procesamiento de carbón vegetal, la fabricación de materias primas, petróleo y gas y plantas hidráulicas.
Dichos ataques se basan en mensajes de phishing que se hacen pasar por empresas de renombre como Engineering for Petroleum and Process Industries (Enppi) y Glory Shipping Marine Co. Ltd. Las empresas objetivo están ubicadas en los Estados Unidos, Sudáfrica, Malasia, Filipinas, Irán, Omán y Pavo.
Para llevar a cabo algunos de los ataques, los atacantes enviaron a las empresas objetivo correos electrónicos que supuestamente provenían de Enppi. Los correos electrónicos invitaban a las víctimas potenciales a presentar una oferta por equipos y materiales de acuerdo con el Proyecto Rosetta Sharing Facilities. Dado que se trata de un proyecto genuino que en realidad está vinculado a Enppi, podemos concluir que los atacantes realizaron algunas investigaciones antes de iniciar sus campañas de phishing.
El correo electrónico de phishing utilizado para atacar a las empresas de energía se titula “SOLICITUD DE COTIZACIÓN PARA EL PROYECTO DE DESARROLLO ENPPI NO 4621-422-298-01- Especifica la fecha límite para presentar ofertas e incluye un archivo .zip que se supone que contiene una lista de los equipos y materiales solicitados. Una vez abierto, el archivo elimina al Agente Tesla.
El objetivo de este artículo es examinar las principales características del Agente Tesla, su funcionamiento y los motivos por los que apunta a las empresas energéticas.
Las principales características del Agente Tesla.
Agent Tesla tiene dos características principales: está escrito en el lenguaje .NET de Microsoft y es un malware comercial. A continuación se ofrece una breve descripción de estas dos características.
lenguaje .NET
Donut fue una de las primeras aplicaciones de malware que utilizó el lenguaje .NET con fines maliciosos. Es una aplicación de malware relativamente simple y nunca ha causado problemas graves de seguridad de la información. Sin embargo, varios estafadores utilizaron Donut como base para desarrollar otro malware.
Sharpei fue el siguiente gran paso en el desarrollo del malware .NET. Para determinar si la plataforma .NET está instalada en la computadora de destino, primero verifica si el archivo mscoree.dll está almacenado en la carpeta del sistema. Si se encuentra el archivo, Sharpei crea y ejecuta el componente viral (el archivo cs.exe).
Agent Tesla es una continuación lógica del rápido desarrollo en el campo del malware .NET. Basándose en la biblioteca completa de funciones integradas incluidas en el marco .NET y el entorno de desarrollo de software que lo acompaña y que admite varios lenguajes de programación, los creadores de Agent Tesla lograron crear una de las aplicaciones de malware con mayor impacto global. Según CheckPoint Research, el Agente Tesla ha impactado al 3% de las organizaciones en todo el mundo.
Malware comercial
Se puede comprar una licencia para utilizar Agent Tesla en el sitio web de sus creadores. Se vende mensual o anualmente. Los creadores de malware afirman que Agent Tesla no debe usarse con fines maliciosos y que se cancelarán las licencias de los usuarios de Agent Tesla que lo utilicen para dichos fines. Es probable que tales afirmaciones sean falsas, ya que los creadores de malware brindan soporte por chat las 24 horas, los 7 días de la semana, que incluye instrucciones sobre cómo evitar el software antimalware y cómo implementar el Agente Tesla dentro de varios tipos de archivos.
La operación del Agente Tesla
El agente Tesla suele propagarse mediante phishing. Sin embargo, el malware tiene una función que le permite ejecutarse automáticamente desde una memoria USB. En la actualidad, Agent Tesla puede operar exclusivamente en máquinas con Windows. Esto puede cambiar en el futuro, ya que la demanda del Agente Tesla aumenta constantemente.
Una vez instalado en la computadora infectada, el Agente Tesla puede actuar como un registrador de teclas, un descargador, un malware para robar contraseñas y un malware para capturar pantalla. Los keyloggers son aplicaciones de software que pueden registrar las teclas pulsadas en el teclado de una computadora. Por lo tanto, el Agente Tesla tiene el potencial de registrar todos los datos (incluidos nombres de usuario y contraseñas) insertados por una víctima en la computadora infectada.
Como descargador, Agent Tesla permite a los estafadores descargar y ejecutar archivos en las computadoras infectadas.
La funcionalidad de recuperación de contraseña del Agente Tesla permite que el malware recopile contraseñas de la mayoría de los principales navegadores, incluidos Internet Explorer, Chrome, Firefox y Opera. El agente Tesla también puede tomar capturas de pantalla de los escritorios de las computadoras infectadas e incluso tomar fotografías a través de sus cámaras web.
El Agente Tesla se vende con una interfaz especial que permite a sus usuarios personalizarlo antes de enviarlo a posibles víctimas. Además, el paquete de malware incluye un panel que se puede utilizar para monitorear las computadoras infectadas y realizar diversas operaciones en ellas.
¿Por qué el Agente Tesla se dirige a las empresas de energía?
El creciente uso del agente Tesla en el sector energético es un fenómeno nuevo. Una de las razones de la atención puesta en el sector energético es la menor demanda de petróleo como resultado de la pandemia mundial de COVID-19. En el punto álgido de la crisis, el precio del petróleo se hundió a niveles no vistos desde. Además de la disminución de la demanda de petróleo, la caída de los precios fue causada por el conflicto entre Rusia y Arabia Saudita.
Las fluctuaciones del precio del petróleo llamaron la atención de los medios de comunicación, los responsables políticos y los creadores de malware. La campaña contra las empresas energéticas comenzó en octubre de y alcanzó su punto máximo en febrero de, donde se detectaron más de 5.000 ciberataques a empresas energéticas. En comparación, el número de ataques de este tipo en marzo de fue de unos 2.500 y, en mayo de, menos de 2.000.
Conclusión
Este artículo analiza el uso reciente del Agente Tesla con el fin de realizar ciberataques a empresas de energía. Más concretamente, examinamos las dos características principales del malware: su base .NET y su carácter comercial.
Respecto a la primera característica, el Agente Tesla indica claramente el potencial que tiene el framework .NET para desarrollar malware. Al igual que la energía nuclear, es un arma de doble filo que puede utilizarse tanto con fines pacíficos como agresivos. En cuanto a la segunda característica, el Agente Tesla forma parte de la creciente tendencia de utilizar malware como servicio, es decir, el alquiler de malware ya preparado para realizar ciberataques.
Después de discutir las características del Agente Tesla, brindamos una descripción general de su funcionamiento y funcionalidades. Nuestro análisis reveló que el malware tiene la capacidad de recopilar todo tipo de información de las computadoras infectadas (incluidos datos de entrada, capturas de pantalla del escritorio e imágenes de cámaras web).
Teniendo en cuenta sus funcionalidades, no sorprende que el Agente Tesla haya sido utilizado en los recientes ataques contra empresas energéticas. Después de escuchar las noticias sobre las fluctuaciones de precios de esas empresas, muchos estafadores probablemente se dieron cuenta de que dichas empresas pueden ser un objetivo perfecto para los ciberataques basados en el Agente Tesla.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Fuentes
- Los atacantes apuntan a la industria del petróleo y el gas con AgentTesla y Bank Info Security
- Coronavirus: el precio del petróleo se desploma al nivel más bajo en 18 años , BBC News
- El malware más buscado en abril de: el troyano de acceso remoto Agent Tesla se propaga ampliamente en campañas de spam relacionadas con COVID-19 , Check Point Software Technologies Ltd.
- Donut , F-Secure
- Sharpei , F-Secure
- PARANOID de Nyotron descubre y bloquea una nueva variante del “Agente Tesla” , Cybersecurity Insiders
- ¿Quién es el agente Tesla? , Krebs sobre la seguridad
- Empresas de petróleo y gas atacadas con el software espía Agente Tesla , Threatpost
- El auge del malware .NET y Powershell , Kaspersky
- Nueva variante del agente Tesla que se propaga mediante phishing , Fortinet