El malware es un término genérico que se utiliza para referirse a cualquier tipo de software malicioso que tiene como objetivo dañar, robar o alterar los datos o el funcionamiento de un dispositivo informático. Existen muchos tipos de malware, como virus, troyanos, gusanos, ransomware, spyware, etc. Cada uno de ellos tiene unas características y unos objetivos específicos, pero todos comparten el propósito de causar algún tipo de perjuicio a los usuarios o a las organizaciones.
En este artículo, vamos a hablar de un malware llamado Agent Tesla, que se trata de un troyano de acceso remoto (RAT, por sus siglas en inglés) y un ladrón de datos que se ha observado desde 2014 y que ha evolucionado con el tiempo para incorporar nuevas técnicas de evasión y de infección. En concreto, vamos a analizar cómo se propaga mediante el uso de un formato de compresión poco común llamado ZPAQ, que le permite ocultar su presencia y engañar a las soluciones de seguridad tradicionales.
Agent Tesla es un malware que se clasifica como un troyano de acceso remoto (RAT), es decir, un tipo de software malicioso que permite a los atacantes controlar de forma remota el dispositivo infectado y realizar diversas acciones maliciosas, como robar información, ejecutar comandos, tomar capturas de pantalla, grabar el audio o la cámara, etc.
Además, Agent Tesla también se considera un ladrón de datos, ya que tiene la capacidad de extraer las credenciales de inicio de sesión, las pulsaciones de teclado, los datos del portapapeles, los archivos almacenados y otra información sensible de varias aplicaciones, como navegadores web, clientes de correo electrónico, programas de ofimática, etc. Esta información se envía posteriormente a los atacantes a través de protocolos comunes, como SMTP, FTP, HTTP o Telegram.
Agent Tesla está escrito en el lenguaje .NET, lo que le permite aprovechar las funciones integradas del marco de trabajo de Microsoft y el entorno de desarrollo que admite varios lenguajes de programación. Esto facilita la creación y la modificación del malware, así como su compatibilidad con diferentes sistemas operativos Windows.
Agent Tesla se ofrece como un servicio de malware (MaaS, por sus siglas en inglés), lo que significa que los atacantes pueden comprarlo o alquilarlo a través de la web oscura o de otros canales, y personalizarlo según sus necesidades y objetivos. De esta forma, Agent Tesla se ha convertido en uno de los malware más populares y utilizados por diferentes grupos de ciberdelincuentes, que lo emplean para realizar campañas de phishing, de espionaje, de robo de información o de extorsión.
Te podrá interesar leer: El auge del Malware como Servicio: Una Amenaza Peligrosa
Se ha detectado que una reciente versión del malware Agent Tesla se distribuye a través de un archivo cebo en formato ZPAQ, un método diseñado para recolectar datos de numerosos clientes de correo electrónico y cerca de 40 navegadores web distintos.
Anna Lvova, analista de malware de G Data, explicó en un análisis reciente que "ZPAQ es un formato de compresión de archivos que supera a otros más comunes como ZIP y RAR en términos de relación de compresión y capacidades de registro en diario. Esto permite que los archivos ZPAQ sean más compactos, reduciendo el espacio de almacenamiento necesario y el ancho de banda usado durante la transferencia de archivos. No obstante, el inconveniente más significativo de ZPAQ es su limitado soporte de software".
Desde su aparición en 2014, Agent Tesla se ha caracterizado por ser un registrador de teclas y un troyano de acceso remoto (RAT) desarrollado en .NET, ofrecido en un modelo de malware-como-servicio (MaaS) a otros actores de amenazas. Este malware se emplea comúnmente como una carga inicial, proporcionando acceso remoto a sistemas comprometidos y facilitando la descarga de herramientas más avanzadas en una segunda etapa, como el ransomware.
Te podrá interesar leer: Prevención de Keylogging: Una Amenaza Silenciosa
Agent Tesla se distribuye habitualmente a través de correos electrónicos de phishing. Campañas recientes han explotado una vulnerabilidad de corrupción de memoria de seis años de antigüedad en el Editor de Ecuaciones de Microsoft Office (CVE-2017-11882).
El ataque más reciente inicia con un correo electrónico que lleva un archivo adjunto en formato ZPAQ, aparentando ser un documento PDF. Al abrirlo, se descomprime un ejecutable .NET inflado, rellenado en su mayor parte con bytes cero para aumentar artificialmente su tamaño a 1 GB, evitando así las medidas de seguridad tradicionales.
"La función principal del ejecutable .NET descomprimido es descargar un archivo con extensión .wav y decodificarlo", señaló Lvova. "El empleo de extensiones de archivo comunes oculta el tráfico malicioso, dificultando que las soluciones de seguridad de red detecten y prevengan las actividades dañinas".
El propósito final del ataque es infectar el dispositivo con Agent Tesla, que se encuentra ofuscado con .NET Reactor, un software legítimo de protección de código. Las comunicaciones de comando y control (C2) se realizan a través de Telegram. Este desarrollo indica que los actores de amenazas están experimentando con formatos de archivo menos convencionales para la distribución de malware, lo que exige a los usuarios estar alerta frente a correos electrónicos sospechosos y mantener sus sistemas al día.
"El empleo del formato de compresión ZPAQ genera más interrogantes que respuestas", concluyó Lvova. "Se especula que los atacantes podrían estar enfocándose en un grupo específico de personas con conocimientos técnicos o que usan herramientas de archivo menos conocidas, o bien probando nuevas técnicas para propagar malware de manera más eficiente y eludir el software de seguridad".
Te podrá interesar leer: Análisis de Malware con Wazuh
Para prevenir y detectar la infección por Agent Tesla, se recomienda seguir una serie de buenas prácticas de seguridad, como las siguientes:
Podrá interesarte leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
La aparición de la nueva variante de Agent Tesla es un recordatorio crítico de la naturaleza cambiante de las amenazas cibernéticas. A medida que los ciberdelincuentes continúan desarrollando métodos más sofisticados para evadir la detección y causar daño, es esencial para individuos y organizaciones permanecer vigilantes y adoptar estrategias de seguridad robustas. Entender las características, métodos de propagación e impacto de estas amenazas es el primer paso para desarrollar una defensa efectiva. La ciberseguridad no es solo una responsabilidad de los expertos en TI; es un compromiso colectivo que requiere la conciencia y la participación activa de todos en la era digital.