+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Stealers (https://forum.getoverx.com/forumdisplay.php?fid=28)
+--- Thread: Agent Tesla (/showthread.php?tid=109)
Agent Tesla - mrwebfeeder - 12-05-2025
Nombre: Agent Tesla
Categoría: RAT (Remote Access Trojan) + Infostealer / Keylogger
Fecha de descubrimiento: Activo al menos desde 2014
Comportamiento (lo que hace y archivos que infecta):
Agent Tesla es un RAT escrito en .NET con capacidades de robo de información: keylogging, captura de pantalla, robo de credenciales desde navegadores, clientes de correo, VPN, FTP, etc. Se vende como Malware-as-a-Service y se distribuye principalmente mediante campañas de phishing (adjuntos de Office, XLL maliciosos, PDFs, etc.). Una vez instalado, envía la información robada al C2 usando HTTP, SMTP, FTP o incluso Telegram, según la configuración del atacante.
Los “archivos infectados” suelen ser configuraciones y bases de datos de aplicaciones desde las que extrae credenciales; también deja sus propios binarios en rutas de usuario o sistema y archivos de script que ayudan a la ejecución inicial.
Persistencia:
Usa principalmente dos técnicas: copiarse en la carpeta de inicio del usuario y/o crear claves de Registro (Run) para ejecutarse en cada arranque. Algunas variantes también emplean scripts adicionales, empaquetadores y ofuscación para dificultar la detección y análisis.
Hash real de referencia (SHA-256):
Muestra pública etiquetada como AgentTesla:
Code:
623d707cab5c5dc378a5100018e29f88949f4ea4be4b34cc2fc36e1612b68100Mitigación con GetOverX Shield v3.0.2.0 o Superior:
Antivirus: Escanear completamente el sistema y eliminar el binario de Agent Tesla y cualquier instalador/dropper ofuscado.
HIPS/EDR: Crear reglas para detectar: – procesos que leen de forma anómala almacenamientos de credenciales, – captura frecuente de pantallas, – keylogging (API de teclado) y envío masivo de datos a dominios desconocidos. Configurar respuesta automática para matar el proceso, bloquear el binario y registrar el incidente.
Firewall: Restringir tráfico saliente SMTP/FTP desde estaciones de trabajo normales y monitorear conexiones HTTP/HTTPS hacia dominios poco reputados usados como C2.
Remediación de credenciales: Cambiar todas las credenciales que se hayan introducido mientras el malware estuvo activo (incluyendo correo corporativo, VPN, paneles administrativos y banca en línea).
Sandbox: Enviar para análisis previo en Sandbox cualquier adjunto de correo sospechoso (especialmente documentos de Office o XLL) proveniente de remitentes desconocidos.