Agent Tesla: Malware que emplea ataques multi-etapa con scripts PowerShell
Investigadores en ciberseguridad han identificado una campaña de malware que utiliza variantes de Agent Tesla, un conocido troyano de acceso remoto (RAT), distribuido mediante sofisticadas secuencias de ataque en múltiples etapas. Esta técnica busca evadir detecciones y maximizar su efectividad en la infección de sistemas.
Mecanismos del ataque multi-etapa
El proceso de infección comienza típicamente con un correo electrónico de phishing que contiene un archivo adjunto malicioso, como un documento de Office o un archivo comprimido. Una vez ejecutado, el malware despliega varias capas de ofuscación:
- Descarga de scripts PowerShell: El payload inicial activa scripts PowerShell altamente ofuscados para descargar componentes adicionales desde servidores controlados por los atacantes.
- Ejecución en memoria: Para evitar la detección por soluciones antivirus tradicionales, el malware se ejecuta directamente en la memoria del sistema (fileless malware).
- Persistencia: Se modifican claves del registro o se crean tareas programadas para garantizar que el malware sobreviva a reinicios del sistema.
Capacidades de Agent Tesla
Una vez instalado, Agent Tesla posee un amplio conjunto de funcionalidades maliciosas:
- Keylogging: Registra las pulsaciones del teclado para robar credenciales.
- Captura de pantalla: Toma imágenes periódicas de la actividad del usuario.
- Robo de credenciales: Extrae contraseñas almacenadas en navegadores y clientes de correo.
- Exfiltración de datos: Envía la información robada a servidores C2 (Command and Control).
Técnicas de evasión
Los atacantes emplean diversas técnicas para dificultar su detección:
- Obfuscación de código mediante herramientas como ConfuserEx.
- Uso de dominios generados algorítmicamente (DGA) para los servidores C2.
- Inyección de procesos legítimos (como explorer.exe) para ejecutar código malicioso.
Recomendaciones de mitigación
Para protegerse contra este tipo de amenazas, se recomienda:
- Implementar soluciones de seguridad capaces de detectar comportamiento anómalo en PowerShell.
- Restringir la ejecución de scripts PowerShell mediante políticas de grupo.
- Educar a los usuarios sobre los riesgos de abrir archivos adjuntos sospechosos.
- Mantener actualizados todos los sistemas y aplicaciones.
- Utilizar autenticación multifactor para reducir el impacto del robo de credenciales.
Este caso demuestra la creciente sofisticación de las campañas de malware, que cada vez emplean técnicas más avanzadas para evadir las defensas de seguridad. La combinación de scripts PowerShell, técnicas fileless y múltiples etapas de ejecución hace que estas amenazas sean particularmente difíciles de detectar y mitigar.
