Agent Tesla

Agent Tesla
Agent Tesla
Typ	Trojan
Datum vypuštění	2014
Popis činnosti
	Krádež přihlašovacích údajů; Keylogging a clipboard monitoring; Snímání obrazovky; Čtení e-mailů a chatů; Exfiltrace a správa souborů; Síťové šíření / laterální pohyb; Antianalytické techniky; Obfuskace a vrstvený loadovací řetězec;

Agent Tesla je malware ze skupiny trojských koní, zaměřený na krádež citlivých informací (tzv. infostealer). Byl poprvé detekován v roce 2014 a od té doby patří mezi nejrozšířenější nástroje používané při kybernetických útocích proti uživatelům operačního systému Windows. Malware je napsán v jazyce .NET, což mu umožňuje snadný běh v prostředí Windows a zároveň ztěžuje jeho analýzu.

Charakteristika

Agent Tesla je komerčně dostupný nástroj (tzv. Malware-as-a-Service), který bývá prodáván na podzemních fórech a darknetu. Jeho obliba mezi útočníky spočívá v jednoduchém použití, širokých možnostech konfigurace a silné schopnosti exfiltrace dat.^[1]^[2]

Funkce a schopnosti

Mezi hlavní schopnosti Agenta Tesly patří:^[3]^[4]

Krádež přihlašovacích údajů: Extrahuje uložené údaje z webových prohlížečů (Chrome, Firefox), e-mailových klientů (Outlook, Thunderbird), FTP klientů (FileZilla) a dalších aplikací.
Keylogging a clipboard monitoring: Sleduje stisky kláves (keylogger) a kopírovaný text ve schránce (clipboard stealer).^[5]
Snímání obrazovky: Pořizuje pravidelné screenshoty aktivní plochy nebo konkrétních oken a odesílá je útočníkovi.
Čtení e-mailů a chatovacích zpráv: Některé verze umožňují získat obsah e-mailové a chatové komunikace.
Stahování a odesílání souborů: Podporuje vzdálené nahrávání a stahování souborů, čímž útočník získává přímý přístup k systému oběti.
Síťové šíření: V pokročilých verzích je schopen laterálního pohybu v síti, například pomocí protokolu SMB nebo zneužitím přístupových údajů.
Antianalytické techniky: Používá techniky detekce virtualizace, sandboxingu a debuggování pro ztížení analýzy.^[6]

Komunikační protokoly

Agent Tesla používá různé komunikační kanály k odesílání dat na server C2 (Command and Control):^[7]^[8]

SMTP – zasílání dat e-mailem, často na kompromitované nebo veřejné schránky (např. seznam.cz, mail.ru),
HTTP/HTTPS – POST požadavky obsahující exfiltrovaná data, často v Base64 nebo jinak zakódované podobě,
FTP – upload dat na vzdálené servery.

Distribuce

Agent Tesla je nejčastěji šířen prostřednictvím:

Phishingových e-mailů – s přílohami ve formátu .doc, .xls, .pdf, .zip, .rar nebo přímo spustitelnými soubory (.exe),^[9]^[10]
Makro skriptů – v souborech Microsoft Office s povolenými makry (VBA),^[11]
PowerShellových skriptů – spuštěných přes inicializační skripty nebo shellcode,^[12]
Exploit kitů a kompromitovaných webových stránek.^[13]

IOC (Indicators of Compromise)

Podezřelé připojení na neznámé SMTP, FTP nebo HTTP servery^[7]
Výskyt .NET binárních souborů ve složkách s dočasnými soubory
Záznamy o přístupu ke schránce, klávesnici a prohlížeči^[14]
Hash vzorků (SHA-256), např.:^[13] 7d2df14c0226085989605548632bd52166fdce3984b7b73a38cadd140c36fe37

Ochrana a detekce

Detekce Agent Tesly je možná pomocí:^[13]^[10]^[7]

Antivirových a antimalwarových programů s heuristickou analýzou
Síťového monitoringu (IDS/IPS), který sleduje podezřelé odchozí spojení
Behaviorální analýzy na úrovni endpointu (EDR)

Reference

↑ Agent Tesla, Software S0331 | MITRE ATT&CK®. attack.mitre.org [online]. [cit. 2025-06-13]. Dostupné online.
↑ Data Insights on AgentTesla and OriginLogger Victims. Bitsight [online]. [cit. 2025-06-13]. Dostupné online. (anglicky)
↑ Understanding Agent Tesla: Notorious Keylogger. cofense.com [online]. [cit. 2025-06-13]. Dostupné online. (anglicky)
↑ AWASTHI, Kriti. A Guide to Agent Tesla Malware and How to Defend It. Fidelis Security [online]. 2024-10-21 [cit. 2025-06-13]. Dostupné online. (anglicky)
↑ ZHANG, Xiaopeng. Phishing Campaign Targeting Korean to Deliver Agent Tesla New Variant | FortiGuard Labs. Fortinet Blog [online]. 2021-12-10 [cit. 2025-06-13]. Dostupné online. (anglicky)
↑ FEBRUARY 2, Prajeet Nair•; 2021. Updated Agent Tesla Malware Disables Endpoint Protection. www.bankinfosecurity.com [online]. [cit. 2025-06-13]. Dostupné online. (anglicky)
↑ ^a ^b ^c Detecting The Agent-Tesla Malware Family | Corelight. corelight.com [online]. [cit. 2025-06-13]. Dostupné online. (anglicky)
↑ Agent Tesla Updates SMTP Data Exfiltration Technique. SANS Internet Storm Center [online]. [cit. 2025-06-13]. Dostupné online. (anglicky)
↑ NAVARRETE, Xiaopeng Zhang and Chris. New Agent Tesla Variant Spreading by Phishing. Fortinet Blog [online]. 2020-04-01 [cit. 2025-06-13]. Dostupné online. (anglicky)
↑ ^a ^b Threat Report: Agent Tesla RAT [online]. Suite 1500, Irving, Texas, USA: Cysiv LLC, 2014-08-02 [cit. 2025-06-13]. Dostupné online.
↑ Virus Bulletin :: Powering the distribution of Tesla stealer with PowerShell and VBA macros. www.virusbulletin.com [online]. [cit. 2025-06-13]. Dostupné online.
↑ KHANZADA, Saqib. Cascading Shadows: An Attack Chain Approach to Avoid Detection and Complicate Analysis [online]. 2025-04-16 [cit. 2025-06-13]. Dostupné online. (anglicky)
↑ ^a ^b ^c Inside the Mind of a ‘Rat’ - Agent Tesla Detection and Analysis. Splunk [online]. [cit. 2025-06-13]. Dostupné online. (anglicky)
↑ Agent Tesla | Malware Trends Tracker. Agent Tesla | Malware Trends Tracker [online]. 2025-06-13 [cit. 2025-06-13]. Dostupné online. (anglicky)

[1] Agent Tesla, Software S0331 | MITRE ATT&CK®. attack.mitre.org [online]. [cit. 2025-06-13]. Dostupné online.

[2] Data Insights on AgentTesla and OriginLogger Victims. Bitsight [online]. [cit. 2025-06-13]. Dostupné online. (anglicky)

[3] Understanding Agent Tesla: Notorious Keylogger. cofense.com [online]. [cit. 2025-06-13]. Dostupné online. (anglicky)

[4] AWASTHI, Kriti. A Guide to Agent Tesla Malware and How to Defend It. Fidelis Security [online]. 2024-10-21 [cit. 2025-06-13]. Dostupné online. (anglicky)

[5] ZHANG, Xiaopeng. Phishing Campaign Targeting Korean to Deliver Agent Tesla New Variant | FortiGuard Labs. Fortinet Blog [online]. 2021-12-10 [cit. 2025-06-13]. Dostupné online. (anglicky)

[6] FEBRUARY 2, Prajeet Nair•; 2021. Updated Agent Tesla Malware Disables Endpoint Protection. www.bankinfosecurity.com [online]. [cit. 2025-06-13]. Dostupné online. (anglicky)

[:1-7] Detecting The Agent-Tesla Malware Family | Corelight. corelight.com [online]. [cit. 2025-06-13]. Dostupné online. (anglicky)

[8] Agent Tesla Updates SMTP Data Exfiltration Technique. SANS Internet Storm Center [online]. [cit. 2025-06-13]. Dostupné online. (anglicky)

[9] NAVARRETE, Xiaopeng Zhang and Chris. New Agent Tesla Variant Spreading by Phishing. Fortinet Blog [online]. 2020-04-01 [cit. 2025-06-13]. Dostupné online. (anglicky)

[:0-10] Threat Report: Agent Tesla RAT [online]. Suite 1500, Irving, Texas, USA: Cysiv LLC, 2014-08-02 [cit. 2025-06-13]. Dostupné online.

[11] Virus Bulletin :: Powering the distribution of Tesla stealer with PowerShell and VBA macros. www.virusbulletin.com [online]. [cit. 2025-06-13]. Dostupné online.

[12] KHANZADA, Saqib. Cascading Shadows: An Attack Chain Approach to Avoid Detection and Complicate Analysis [online]. 2025-04-16 [cit. 2025-06-13]. Dostupné online. (anglicky)

[:2-13] Inside the Mind of a ‘Rat’ - Agent Tesla Detection and Analysis. Splunk [online]. [cit. 2025-06-13]. Dostupné online. (anglicky)

[14] Agent Tesla | Malware Trends Tracker. Agent Tesla | Malware Trends Tracker [online]. 2025-06-13 [cit. 2025-06-13]. Dostupné online. (anglicky)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]