A família de malware Agent Tesla, um trojan de acesso remoto (RAT) ativo há mais de 7 anos, continua sendo uma das ameaças mais comuns aos usuários do Windows, evoluindo constantemente. Uma descoberta recente da empresa de segurança Sophos identificou um aumento no número de aplicativos direcionados ao roubo de credenciais, incluindo navegadores da web, clientes de e-mail, clientes de rede privada virtual e outros softwares que armazenam nomes de usuário e senhas.
A evolução da ferramenta também se estende ao seu pacote de entrega, com uma versão que agora visa a Interface de Software Anti-Malware da Microsoft (AMSI) em uma tentativa de derrotar o software de proteção de endpoint.
O malware é utilizado para roubar credenciais do usuário e outras informações de vítimas por meio de capturas de tela, registro do teclado e captura da área de transferência. O SophosLabs rastreou cibercriminosos usando o Agente Tesla e detectou novas variantes em um número crescente de ataques nos últimos 10 meses. Até dezembro de 2020, o Agente Tesla era responsável por 20% dos anexos de e-mail de malware detectados na telemetria de clientes da Sophos.
Duas versões atualmente ativas do malware, identificadas pela Sophos como Agente Tesla versão 2 e versão 3, empregam vários tipos de evasão de defesa e ofuscação para evitar a detecção, incluindo opções para instalar e usar o Tor e a API de mensagens Telegram para comunicações de comando e controle (C2). As diferenças vistas entre a v2 e v3 do Agente Tesla parecem estar focadas em melhorar a taxa de sucesso do malware contra defesas sandbox e scanners de malware, além de fornecer mais opções C2 para seus clientes invasores.
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.