Sophos ha pubblicato oggi un nuovo rapporto sul malware Agent Tesla: "Agent Tesla Amps Up Information Stealing Attacks". In esso, gli specialisti della sicurezza IT descrivono come gli aggressori utilizzano nuove tecniche per disabilitare la protezione degli endpoint prima di iniettare il malware nel sistema.
Agent Tesla è uno strumento di accesso remoto (RAT) ampiamente utilizzato, noto dal 2014 e utilizzato dagli aggressori per il furto di dati: ora sono venuti alla luce nuovi aggiornamenti sui dettagli degli attacchi. I creatori lo mettono in vendita sui forum del dark web e lo aggiornano continuamente. I criminali informatici in genere distribuiscono l'agente Tesla come allegato tramite e-mail di spam.
Il processo a più stadi penetra
Le tecniche presentano un processo in più fasi in cui un downloader .NET preleva singoli pezzi di malware da siti Web ufficiali di terze parti, come pastebin e hastebin, quindi assembla i pezzi per provocare il caos con il malware completato. Allo stesso tempo, il malware tenta di modificare il codice nell'interfaccia software anti-malware (AMSI) di Microsoft, una funzionalità di Windows che consente l'integrazione di applicazioni e servizi con i prodotti di sicurezza installati. Con questo, i criminali informatici disabilitano la protezione della sicurezza degli endpoint abilitata per AMSI, consentendo al malware di scaricare, installare ed eseguire senza ostacoli.
Il rapporto descrive la procedura
Il nuovo rapporto di Sophos descrive in dettaglio le due versioni dell'Agente Tesla in circolazione. Entrambi hanno aggiornamenti recenti come il numero di applicazioni mirate al furto di credenziali. Ciò include, a titolo esemplificativo ma non esaustivo, browser Web, client di posta elettronica, client di reti private virtuali e altri software che memorizzano nomi utente e password. È anche possibile catturare sequenze di tasti e registrare schermate.
Le differenze tra le due versioni mostrano come gli aggressori abbiano recentemente evoluto il RAT e ora stiano impiegando molteplici tecniche di evasione e offuscamento della sicurezza. Questi includono opzioni per l'installazione e l'utilizzo del client di rete anonimo Tor, l'API di messaggistica di Telegram per la comunicazione di comando e controllo (C2) e il targeting per AMSI di Microsoft.
Il malware Agent Tesla è attivo da più di sette anni, ma rimane una delle minacce più comuni per gli utenti Windows. Si colloca tra le principali famiglie di malware distribuite via e-mail nel 2020. A dicembre, l'agente Tesla ha rappresentato circa il 20% degli attacchi e-mail dannosi intercettati dagli scanner Sophos", ha affermato Michael Veit, Technology Evangelist di Sophos. "Una varietà di aggressori utilizza il malware per rubare le credenziali degli utenti e altre informazioni tramite screenshot, registrazione della tastiera e acquisizione degli appunti".
Sophos consiglia quanto segue agli amministratori IT
- Installazione di una soluzione di sicurezza intelligente che controlla, rileva e può bloccare le e-mail sospette e i relativi allegati prima che raggiungano gli utenti.
- Creazione di standard di autenticazione efficaci per verificare che le email siano quello che dicono di essere.
Formare i dipendenti a riconoscere i segnali di allarme di e-mail sospette e cosa fare quando incontrano un'e-mail sospetta. - Incoraggia gli utenti a controllare le e-mail per assicurarsi che provengano dall'indirizzo e dalla persona che affermano di essere.
Consiglia agli utenti di non aprire mai allegati o fare clic su collegamenti nelle e-mail di mittenti sconosciuti.
La protezione degli endpoint di Sophos Intercept X rileva il malware e il RAT del programma di installazione dell'agente Tesla utilizzando la tecnologia di machine learning, nonché le firme Troj/Tesla-BE e Troj/Tesla-AW.
Ulteriori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.