Agent Tesla trickst IT-Sicherheit aus

Agent Tesla trickst IT-Sicherheit aus

Beitrag teilen

Sophos stellt heute einen neuen Report zur Malware Agent Tesla vor: „Agent Tesla Amps Up Information Stealing Attacks“. Darin beschreiben die IT-Security-Spezialisten, wie Angreifer mit neuen Techniken den Schutz am Endpoint ausschalten, bevor sie die Malware in das System einschleusen.

Agent Tesla ist ein weit verbreitetes Remote Access Tool (RAT), das seit 2014 bekannt ist und von Angreifern für den Datendiebstahl eingesetzt wird – jetzt sind neue Updates zu Details zu den Angriffen ans Licht gekommen. Die Macher bieten es in Dark-Web-Foren zum Verkauf an und aktualisieren es kontinuierlich. Cyberkriminelle verbreiten Agent Tesla in der Regel als Anhang über Spam-E-Mails.

Anzeige

Mehrstufiger Prozess dringt durch

Die Techniken zeichnen sich durch einen mehrstufigen Prozess aus, bei dem ein .NET-Downloader einzelne Malware-Bausteine von offiziellen Drittanbieter-Websites – etwa pastebin und hastebin – abgreift und anschließend die Bausteine zusammensetzt, um mit der komplettierten Malware ihr Unwesen zu treiben. Gleichzeitig versucht die Malware, den Code in Microsofts Anti-Malware Software Interface (AMSI) zu verändern – eine Windows-Funktion, die es Anwendungen und Diensten ermöglicht, sich in installierte Sicherheitsprodukte zu integrieren. Damit setzen die Cyberkriminellen den AMSI-aktivierten Endpunkt-Sicherheitsschutz außer Funktion, so dass die Malware ohne Hindernisse heruntergeladen, installiert und ausgeführt werden kann.

Report beschreibt Vorgehen

Der neue Report von Sophos beschreibt detailliert die beiden im Umlauf befindlichen Versionen von Agent Tesla. Beide verfügen über aktuelle Updates, wie z.B. die Anzahl der Anwendungen, die für den Diebstahl von Anmeldeinformationen anvisiert werden. Dazu gehören u.a. Webbrowser, E-Mail-Clients, Virtual Private Network-Clients und andere Software, die Benutzernamen und Kennwörter speichern. Zudem besteht die Möglichkeit, Tastatureingaben zu erfassen und Screenshots aufzuzeichnen.

Die Unterschiede zwischen den beiden Versionen zeigen, wie Angreifer das RAT in letzter Zeit weiterentwickelt haben und nun mehrere Techniken für die Umgehung der Security und der Verschleierung einsetzen. Dazu gehören Optionen zur Installation und Nutzung des anonymisierenden Netzwerk-Clients Tor, die Telegram-Messaging-API für die Command-and-Control-Kommunikation (C2) sowie das Anvisieren von Microsofts AMSI.

„Agent Tesla“-Malware ist seit mehr als sieben Jahren aktiv, dennoch bleibt sie eine der häufigsten Bedrohungen für Windows-Nutzer. Sie zählt zu den Top-Malware-Familien, die im Jahr 2020 per E-Mail verbreitet wurden. Im Dezember machte Agent Tesla rund 20 Prozent der schädlichen E-Mail-Attacken aus, die von Sophos-Scannern abgefangen wurden“, sagt Michael Veit, Technology Evangelist bei Sophos. „Eine Vielzahl von Angreifern nutzt die Malware, um Benutzeranmeldedaten und andere Informationen durch Screenshots, Tastaturprotokollierung und Clipboard-Capture zu stehlen.“

Sophos empfiehlt IT-Administratoren folgendes

  • Installation einer intelligenten Sicherheitslösung, die verdächtige E-Mails und deren Anhänge prüft, erkennt und blockieren kann, bevor sie die Anwender erreichen.
  • Schaffung von wirksamen Authentifizierungsstandards, um zu überprüfen, ob E-Mails das sind, was sie vorgeben zu sein.
    Schulung der Mitarbeiter, damit sie die Warnzeichen verdächtiger E-Mails erkennen und wissen, was zu tun ist, wenn sie auf eine verdächtige E-Mail stoßen.
  • Anwender dafür sensibilisieren, E-Mails zu prüfen, ob sie von der Adresse und der Person stammen, für die sie sich ausgeben.
    Benutzer darauf hinweisen, niemals Attachments zu öffnen oder auf Links in E-Mails von unbekannten Absendern zu klicken.

Der Sophos Endpoint-Schutz Intercept X erkennt die Installer-Malware von Agent Tesla und den RAT mit Hilfe von Machine-Learning-Technologie sowie auch durch die Signaturen Troj/Tesla-BE und Troj/Tesla-AW.

Mehr dazu bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Alt-Systeme im OT-Umfeld schützen

In vielen Unternehmen lautet eine der wichtigsten Fragen bezüglich der Betriebstechnologie (Operational Technology, OT): Wie schützt man die Alt-Systeme richtig? ➡ Weiterlesen

Neue Version der XDR AI PLATFORM

Die automatisierte XDR Plattform hat in der Version 13 ein verbessertes Verteidigungsarsenal zur Bekämpfung komplexer werdender Cyberbedrohungen. Eine KI hält ➡ Weiterlesen

Notfallplan: Kommunikation während einer Cyberattacke 

Cyberkriminalität und Datendiebstahl sind ein Supergau und können Unternehmen ins Straucheln bringen. Ein Notfallplan hilft allen Beteiligten, die Nerven und ➡ Weiterlesen

ROC – Risk Operations Center in der Cloud

Branchenweit ist es das erste seiner Art: Das Risk Operations Center (ROC) mit Enterprise TruRisk Management (ETM). Die Qualys-Lösung ermöglicht ➡ Weiterlesen

CPS: Neue Malware IOCONTROL zielt auf KRITIS

Experten des Team82 haben eine gegen kritische Infrastruktur gerichtete Malware identifiziert. Die Cyberwaffe IOCONTROL stammt laut den Experten wahrscheinlich von ➡ Weiterlesen

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen