A Sophos divulgou hoje um novo relatório sobre o malware Agent Tesla: “Agent Tesla Amps Up Information Stealing Attacks”. Nele, os especialistas em segurança de TI descrevem como os invasores usam novas técnicas para desabilitar a proteção de endpoint antes de injetar o malware no sistema.
O Agent Tesla é uma ferramenta de acesso remoto (RAT) amplamente utilizada, conhecida desde 2014 e usada por invasores para roubo de dados - agora novas atualizações sobre detalhes sobre os ataques vieram à tona. Os criadores o colocam à venda em fóruns da dark web e o atualizam continuamente. Os cibercriminosos normalmente distribuem o Agent Tesla como anexo por meio de e-mails de spam.
O processo de vários estágios penetra
As técnicas apresentam um processo de várias etapas no qual um downloader .NET pega partes individuais de malware de sites oficiais de terceiros, como pastebin e hastebin, e então monta as peças para causar estragos com o malware completo. Ao mesmo tempo, o malware tenta modificar o código da interface de software antimalware (AMSI) da Microsoft - um recurso do Windows que permite que aplicativos e serviços se integrem aos produtos de segurança instalados. Com isso, os criminosos cibernéticos desativam a proteção de segurança de endpoint habilitada para AMSI, permitindo que o malware baixe, instale e execute sem nenhum obstáculo.
O relatório descreve o procedimento
O novo relatório da Sophos detalha as duas versões do Agente Tesla em circulação. Ambos têm atualizações recentes, como o número de aplicativos direcionados para roubo de credenciais. Isso inclui, entre outros, navegadores da Web, clientes de e-mail, clientes de rede privada virtual e outros softwares que armazenam nomes de usuário e senhas. Também é possível capturar teclas digitadas e gravar capturas de tela.
As diferenças entre as duas versões mostram como os invasores evoluíram o RAT recentemente e agora estão empregando várias técnicas de evasão de segurança e ofuscação. Isso inclui opções para instalar e usar o cliente de rede anônimo Tor, a API de mensagens do Telegram para comunicação de comando e controle (C2) e direcionar o AMSI da Microsoft.
O malware Agent Tesla está ativo há mais de sete anos, mas continua sendo uma das ameaças mais comuns enfrentadas pelos usuários do Windows. Ele está entre as principais famílias de malware distribuídas por e-mail em 2020. Em dezembro, o agente Tesla foi responsável por cerca de 20% dos ataques de e-mail maliciosos interceptados pelos scanners da Sophos”, disse Michael Veit, Evangelista de Tecnologia da Sophos. “Vários invasores usam o malware para roubar credenciais de usuários e outras informações por meio de capturas de tela, registro de teclado e captura de área de transferência”.
A Sophos recomenda o seguinte para administradores de TI
- Instalação de uma solução de segurança inteligente que verifica, detecta e pode bloquear e-mails suspeitos e seus anexos antes que cheguem aos usuários.
- Criação de padrões de autenticação eficazes para verificar se os e-mails são o que dizem ser.
Treine os funcionários para reconhecer os sinais de alerta de e-mails suspeitos e o que fazer quando encontrarem um e-mail suspeito. - Incentive os usuários a verificar os e-mails para garantir que eles vêm do endereço e da pessoa que afirmam ser.
Aconselhe os usuários a nunca abrir anexos ou clicar em links em e-mails de remetentes desconhecidos.
A proteção de endpoint Sophos Intercept X detecta o malware do instalador Agent Tesla e o RAT usando tecnologia de aprendizado de máquina, bem como assinaturas Troj/Tesla-BE e Troj/Tesla-AW.
Saiba mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.