GETOVERX FORUM Community Support   ›   Malware Docs   ›   Spyware   ›   SPYWARE – AgentTesla

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
SPYWARE – AgentTesla
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 03:37 PM (This post was last modified: 12-07-2025, 04:17 PM by mrwebfeeder.)
Nombre: AgentTesla

Categoría: RAT / Spyware

Objetivo principal: Robo de contraseñas e información sensible

Año / Periodo de actividad: 2014 – presente

Comportamiento (lo que hace y archivos que afecta):
- Malware tipo RAT/Spyware distribuido habitualmente por campañas de spam, cracks y instaladores falsos.
- Enfocado en la recolección de credenciales e información sensible desde el equipo infectado.
- Funcionalidades principales:
  • Keylogging:
    Registra las pulsaciones de teclado para capturar:
    - Usuarios y contraseñas.
    - Mensajes escritos en chat/correo.
    - Cualquier texto introducido en formularios.
  • Captura de portapapeles:
    Lee el contenido del portapapeles para robar:
    - Contraseñas copiadas/pegadas.
    - Enlaces de acceso.
    - Direcciones de criptowallet o datos sensibles copiados temporalmente.
  • Exfiltración vía SMTP o FTP:
    - Envía la información robada a los operadores usando:
    - Cuentas de correo SMTP configuradas en el malware.
    - Servidores FTP configurados de antemano.
    - En muchas campañas utiliza proveedores legítimos de correo para camuflar el tráfico.
  • Robo de cookies y credenciales:
    - Extrae cookies de navegadores, datos de autocompletado y credenciales almacenadas.
    - Puede apuntar a:
    - Navegadores web (Chrome, Edge, Firefox, etc.).
    - Clientes de correo y FTP.
    - Aplicaciones con credenciales guardadas localmente.
- Archivos afectados:
- Bases de datos locales de navegadores y aplicaciones (credenciales, cookies, sesiones).
- Archivos de configuración con usuarios/contraseñas.
- No cifra ni destruye archivos; su foco es puramente la exfiltración de datos.

Persistencia:
- Suele implementar mecanismos de persistencia como:
  • Entradas en claves de Registro de inicio automático (Run/RunOnce).
  • Copias del binario en carpetas de usuario (AppData, Roaming, etc.) con nombres que imitan software legítimo.
  • Tareas programadas que relanzan el ejecutable tras reinicios.
- El objetivo es mantenerse activo a largo plazo para seguir robando credenciales y sesiones nuevas.

Hash real de referencia (SHA-256):
Muestra pública asociada a AgentTesla:
Code:
8e2165cdb0e312c461c9fc3cdd8f2bf3c9ff37ac2e4fb5b2b9c90e2f73855b8a

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Bloquear tráfico saliente SMTP (Firewall):
    - En el módulo de firewall de GetOverX Shield:
    - Restringir o bloquear tráfico saliente SMTP directo (puertos 25/465/587) desde equipos de usuario.
    - Permitir sólo:
    - Servidores de correo corporativos autorizados.
    - Gateways de correo controlados por la organización.
    - Registrar y alertar:
    - Intentos de conexión SMTP hacia servidores externos desconocidos.
    - Picos de envío de correo desde estaciones que normalmente no actúan como MTA.

  • Análisis de comportamiento (EDR / HIPS):
    - Activar reglas de EDR para detectar:
    - Procesos que acceden de forma continuada a:
    - APIs de teclado (indicadores de keylogging).
    - Portapapeles y bases de datos de credenciales de navegadores.
    - Acceso simultáneo a múltiples almacenes de credenciales (navegadores, FTP, correo).
    - Configurar respuesta automática para:
    - Matar el proceso sospechoso cuando se detecte patrón típico de stealer/RAT.
    - Registrar los eventos en los logs unificados (proceso, usuario, host, tipo de acceso).
    - Revisar procesos que abren conexiones salientes por SMTP/FTP justo después de la recolección de datos.

  • Regla YARA basada en strings internas (AV + YARA):
    - Crear e integrar reglas YARA específicas para AgentTesla:
    - Basadas en cadenas internas características (strings incrustadas, patrones de configuración, rutas, protocolos).
    - Usar estas reglas:
    - En el motor AV de GetOverX Shield (si integra soporte YARA) para escaneos programados y bajo demanda.
    - En análisis de laboratorio / Sandbox para detectar variantes ofuscadas.
    - Escanear:
    - Directorios de usuario (Descargas, AppData, Temp).
    - Repositorios donde se reciban adjuntos o instaladores (shares de TI, servidores de correo).

  • Medidas adicionales recomendadas:
    - Endurecer el uso de contraseñas:
    - Fomentar gestores de contraseñas y MFA en servicios críticos (correo, VPN, paneles de hosting).
    - Evitar almacenar credenciales en texto plano o en documentos locales.
    - Revisar periódicamente:
    - Históricos de acceso a cuentas críticas (logins desde IPs/países inusuales).
    - Configuración de clientes de correo y FTP en equipos de usuario.

Notas opcionales:
- AgentTesla es uno de los infostealers/RAT más comunes en campañas masivas; su capacidad para exfiltrar credenciales vía SMTP/FTP lo convierte en una pieza frecuente en cadenas de compromiso que terminan en robo de cuentas, fraude y despliegue de otros malware.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)