# Agent Tesla > Tipo: **infostealer** (MaaS) · S0331 · [MITRE ATT&CK](https://attack.mitre.org/software/S0331) ## Visão Geral [[s0331-agent-tesla|Agent Tesla]] e um Trojan spyware comercial escrito para o framework .NET, disponível como Malware-as-a-Service (MaaS) em forums clandestinos desde pelo menos 2014. Comercializado em tres camadas - Bronze ($9), Silver ($20) e Gold ($30) -, o Agent Tesla democratizou o acesso a capacidades de espionagem corporativa para operadores sem experiência técnica avancada. De acordo com o relatorio de cibersegurança 2025 da Check Point, o Agent Tesla figurou entre os 10 malwares mais prevalentes de 2024, afetando 6,3% das redes corporativas globalmente - com aumento de 22% nas deteccoes em relacao a 2023. O Agent Tesla e técnicamente um RAT de informações que combina keylogging ([[t1056-001-keylogging|T1056.001]]), captura de tela ([[t1113-screen-capture|T1113]]), form-grabbing de browsers ([[t1185-browser-session-hijacking|T1185]]) e roubo sistematico de credenciais de mais de 70 aplicações - incluindo browsers (Chrome, Firefox, Edge), clientes de e-mail (Outlook, Thunderbird), clientes FTP (WinSCP, FileZilla), clientes VPN e softwares de acesso remoto. O diferencial que mantem o Agent Tesla relevante após mais de 10 anos e o canal de exfiltração sem servidor C2 dedicado: os dados roubados sao enviados diretamente ao operador via SMTP (porta 587/465), FTP ou canal Telegram - reduzindo a pegada de infraestrutura e dificultando detecção por sistemas de análise de trafego de saida convencional. Em novembro de 2025, a Symantec documentou uma campanha multistagio específicamente direcionada a LATAM, utilizando o Agent Tesla como payload final. O ataque empregava anexos comprimidos com droppers em camadas que injetavam o malware diretamente em processos legitimos do sistema via process hollowing ([[t1055-012-process-hollowing|T1055.012]]) - técnica que contorna soluções de segurança baseadas em assinatura de arquivo. Em fevereiro de 2026, a FortiGuard Labs públicou análise aprofundada de campanha multistagio usando Agent Tesla com payloads hospedados em servicos públicos (catbox.moe, FTP de empresas comprometidas). **Plataformas:** Windows ## Como Funciona ### Cadeia de Infecção Multiestágio (2024-2025) Campanhas modernas de Agent Tesla operam em tres a quatro estagios para maximizar evasão: **Estagio 1 - Entrega:** E-mail de spearphishing com anexo comprimido (ZIP/RAR/ISO) contendo documento Office ou executavel. Isca frequente: notificação bancaria, boleto, nota fiscal, pedido de compra, cotacao. **Estagio 2 - Loader/Dropper:** Arquivo malicioso explora CVE-2017-11882 (execução de formula no Excel) ou CVE-2017-8570 (OLE2Link) para executar um loader multistagio. Loaders modernos usam PowerShell ou VBScript para baixar payload criptografado de hosting público (Google Drive, OneDrive, catbox.moe). **Estagio 3 - Implantação:** O loader descomprime e decripta (AES/Rijndael) o payload Agent Tesla, injeta-o via process hollowing em `aspnet_compiler.exe`, `RegAsm.exe`, `RegSvcs.exe` ou outro processo legítimo .NET - evitando criação de arquivo em disco. **Estagio 4 - Exfiltração:** O Agent Tesla em execução coleta todas as credenciais armazenadas, capturas de tela e logs de teclas, e envia ao operador via SMTP usando credenciais de e-mail comprometidas como relay ou via webhook Telegram. ## Attack Flow ```mermaid graph TB A["📧 Spearphishing PT-BR<br/>Boleto / NF / Pedido<br/>T1566.001 Attachment"] --> B["💥 Exploit Office<br/>CVE-2017-11882 / OLE2<br/>T1203 Client Execution"] B --> C["🔧 Loader multistagio<br/>PowerShell / VBScript<br/>T1027 Payload criptografado"] C --> D["💉 Process Hollowing<br/>RegAsm / aspnet_compiler<br/>T1055.012 In-memory"] D --> E["🔑 Coleta de credenciais<br/>70+ aplicações<br/>T1555.003 Browsers"] E --> F["📤 Exfiltração SMTP/FTP<br/>Sem C2 dedicado<br/>T1048.003 Relay comprometido"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef load fill:#8e44ad,color:#fff classDef inject fill:#2980b9,color:#fff classDef collect fill:#27ae60,color:#fff classDef exfil fill:#2c3e50,color:#fff class A delivery class B exploit class C load class D inject class E collect class F exfil ``` ## Timeline ```mermaid timeline title Agent Tesla - Evolução 2014 : Primeiras amostras documentadas 2017 : Exploits Office CVE-2017-11882 adotados 2018-19 : Versao v2 e v3 com evasão melhorada 2020 : Campanhas COVID-19 contra saude global 2021 : Uso por SilverTerrier em campanhas BEC 2023 : Atividade intensa desde outubro 2024 : Top 10 malware global - 6.3% redes afetadas 2025-11 : Campanha Symantec específica LATAM 2026-02 : Análise FortiGuard de campanha multistagio ``` ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1055-012-process-hollowing|T1055.012 - Process Hollowing]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] - [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1552-001-credentials-in-files|T1552.001 - Credentials In Files]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1048-003-exfiltration-over-unencrypted-protocol|T1048.003 - Exfiltration Over Unencrypted Protocol]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1497-virtualizationsandbox-evasion|T1497 - Virtualization/Sandbox Evasion]] - [[t1218-009-regsvcsregasm|T1218.009 - Regsvcs/Regasm]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Grupos que Usam - [[g0083-silverterrier|SilverTerrier]] - grupo nigeriano de BEC, campanhas globais - [[g1018-ta2541|TA2541]] - grupo focado em aviacao, transporte e logistica ## Detecção > [!tip] Foco na Exfiltração - Nao no Arquivo > O Agent Tesla frequentemente evita criação de arquivos em disco (process hollowing). Detecção por assinatura de arquivo tem baixa eficacia. Priorizar análise de comportamento e trafego de rede de saida. **Indicadores comportamentais:** - **Sysmon Event ID 1** - Criação de processo: `regsvcs.exe` ou `regasm.exe` invocados por processos pai incomuns (ex: `winword.exe`, `excel.exe`) - **Sysmon Event ID 10** - Acesso a processo: qualquer processo .NET acessando `lsass.exe` ou injetando em `aspnet_compiler.exe` - Acesso a arquivos de credenciais de browser por processos .NET fora do perfil esperado: `Login Data` (Chrome), `logins.json` (Firefox), `key4.db` **Indicadores de rede:** - Conexoes SMTP de saida (porta 587/465) originadas de estacoees de trabalho - nao de servidores de e-mail corporativos - Conexoes FTP de saida (porta 21) de processos .NET incomuns - Requisicoes HTTPS para `api.telegram.org` de estacoees de trabalho - Downloads de payloads de `catbox.moe`, `files.catbox.moe` ou URLs FTP de dominios comprometidos **Regras Sigma:** - `proc_creation_win_regsvcs_regasm_exec.yml` - abuso de Regsvcs/Regasm - `net_connection_win_susp_smtp.yml` - SMTP suspeito de workstations - `proc_creation_win_susp_process_hollowing.yml` - process hollowing em processos .NET ## Relevância LATAM/Brasil O [[s0331-agent-tesla|Agent Tesla]] e consistentemente um dos malwares mais prevalentes no Brasil e na América Latina, documentado em relatorios de ameaças anuais da Kaspersky, Check Point, ESET e IBM X-Force para a regiao. Campanhas em portugues brasileiro distribuem o malware com iscas altamente adaptadas ao contexto local: notificacoes da Receita Federal, Correios, boletos bancarios falsos, e-mails de cobranca, NFes e pedidos de compra de empresas conhecidas. O [[g0083-silverterrier|SilverTerrier]] e grupos criminosos regionais utilizam o Agent Tesla para comprometer PMEs brasileiras nos setores [[financial|financeiro]], [[logistics|logistico]] e [[manufacturing|industrial]], com foco em roubo de credenciais bancarias corporativas e credenciais de acesso a sistemas ERP/CRM. A campanha documentada pela Symantec em novembro de 2025 - específicamente direcionada a LATAM - demonstra que a regiao esta na mira de campanhas multistagio sofisticadas, nao apenas de operadores oportunistas. O modelo MaaS torna o Agent Tesla acessivel a operadores brasileiros sem experiência técnica avancada, amplificando o risco para PMEs com controles de segurança limitados. ## Referências - [MITRE ATT&CK - S0331](https://attack.mitre.org/software/S0331) - [Malpedia - Agent Tesla](https://malpedia.caad.fkie.fraunhofer.de/details/win.agent_tesla) - [Symantec - Multi-Stage In-Memory Agent Tesla Campaign Targets LATAM (2025)](https://www.broadcom.com/support/security-center/attacksignatures/detail?asid=agent-tesla) - [FortiGuard Labs - Unmasking Agent Tesla: A Deep Dive into a Multi-Stage Campaign (2026)](https://www.fortinet.com/blog/threat-research) - [Check Point - Agent Tesla Malware 2025 Report](https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-malware/agent-tesla-malware/) - [Quorum Cyber - Agent Tesla RAT Report (2024)](https://www.quorumcyber.com/wp-content/uploads/2024/04/Quorum-Cyber-Agent-Tesla-Remote-Access-Trojan-Report.pdf)