UPDATE: Agent Tesla Malware gespot met nieuwe bezorg- en ontwijktechnieken

Dit is een update op: Nieuwe wormachtige Android malware verspreid zich via WhatsApp

Beveiligingsonderzoekers hebben nieuwe leverings- en ontwijkingstechnieken ontdekt die zijn aangenomen door Agent Tesla trojan voor externe toegang (RAT) om verdedigingsbarrières te omzeilen en de slachtoffers te spioneren.

De Windows-spyware die zich typisch verspreid via social engineering-lokmiddelen, richt zich nu niet alleen op de Antimalware Scan Interface (AMSI) van Microsoft in een poging om eindpuntbeschermingssoftware te omzeilen, het maakt ook gebruik van een meerfasig installatieproces en maakt gebruik van Tor- en Telegram-messaging-API om te communiceren met een command-and-control (C2) server.

Cybersecuritybedrijf Sophos, dat twee versies van Agent Tesla – versie 2 en versie 3 – momenteel in het wild heeft waargenomen, zei dat de veranderingen nog een teken zijn van de constante evolutie van Agent Tesla, ontworpen om een ​​sandbox en statische analyse moeilijker te maken.

“De verschillen die we zien tussen v2 en v3 van Agent Tesla lijken te zijn gericht op het verbeteren van het succespercentage van de malware tegen sandboxverdedigingen en malwarescanners, en op het bieden van meer C2-opties aan hun aanvallers”, aldus Sophos-onderzoekers.

Agent Tesla is een op .NET gebaseerde keylogger en informatiediefstal en is sinds eind 2014 ingezet bij een aantal aanvallen, met in de loop van de tijd extra functies waarmee het de toetsenbordinvoer van het slachtoffer kan volgen en verzamelen, schermafbeeldingen kan maken en inloggegevens van een verschillende software zoals VPN-clients, FTP- en e-mailclients en webbrowsers.

Onderzoekers van securitybedrijf ESET hebben nieuwe Android Malware ontdekt dat zichzelf verspreid via WhatsApp berichten naar andere contacten om naar alle waarschijnlijkheid het bereik van een adware campagne te vergroten.

“Deze malware verspreid zich via de WhatsApp van het slachtoffer door automatisch te antwoorden op iedere ontvangen notificatie van een WhatsApp bericht met een link naar een malafide Huawei Mobile applicatie,” geeft ESET-onderzoeker Lukas Stefanko aan.

Deze linkt door naar een neppe Huawei Mobile applicatie, welke zich bevindt in een nagemaakte Google Play Store website. In de link wordt daarnaast ook beloofd als de gebruiker de applicaties heeft geïnstalleerd dat deze een mobiele telefoon kan winnen.

Nieuwe functies

Afgelopen mei, tijdens het hoogtepunt van de pandemie, werd ontdekt dat een variant van de malware zich verspreidde via spamcampagnes met een COVID-thema om Wi-Fi-wachtwoorden te stelen naast andere informatie – zoals Outlook-e-mailreferenties – van doelsystemen.

Vervolgens, in augustus 2020, verhoogde de tweede versie van Agent Malware het aantal toepassingen dat gericht was op diefstal van inloggegevens tot 55, waarvan de resultaten vervolgens via SMTP of FTP naar een door een aanvaller bestuurde server werden verzonden.

Hoewel het gebruik van SMTP om informatie naar een door de aanvaller beheerde mailserver te sturen al in 2018 werd opgemerkt, bleek een van de nieuwe versies die door Sophos werden geïdentificeerd ook Tor-proxy te gebruiken voor HTTP-communicatie en de messaging-app Telegram’s API om de informatie door te geven naar een privéchatroom.

Daarnaast heeft het meerfasige malware-installatieproces van Agent Tesla een aanzienlijke upgrade gekregen, waarbij de malware-downloader in de eerste fase nu probeert om code in AMSI te wijzigen om scans van kwaadaardige ladingen uit de tweede fase over te slaan die zijn opgehaald uit Pastebin (of Hastebin).

Deze tussentijdse payload, die stukjes versluierde base64-gecodeerde code zijn, wordt vervolgens gedecodeerd om de loader op te halen die wordt gebruikt om de Agent Tesla-malware te injecteren.

AMSI is een interfacestandaard waarmee toepassingen en services kunnen worden geïntegreerd met elk bestaand antimalware product dat aanwezig is op een Windows-machine.

Om persistentie te bereiken, kopieert de malware zichzelf bovendien naar een map en stelt de attributen van die map in op “Verborgen” en “Systeem” om het aan het zicht te houden in Windows Verkenner, legden de onderzoekers uit.

“De meest voorkomende afleveringsmethode voor Agent Tesla is kwaadaardige spam”, aldus Sean Gallagher en Markel Picado van Sophos.

“De e-mailaccounts die worden gebruikt om Agent Tesla te verspreiden, zijn vaak legitieme accounts die zijn gecompromitteerd. Organisaties en individuen moeten, zoals altijd, e-mailbijlagen van onbekende afzenders voorzichtig behandelen en bijlagen verifiëren voordat ze ze openen.”

Advies

Aan iedereen wordt geadviseerd om een aware training te volgen om scenarios te kunnen herkennen.

Aan iedereen wordt geadviseerd mocht je via WhatsApp een link toegestuurd krijgen van een vertrouwd contact die je niet (helemaal) vertrouwd, dan niet op deze link te klikken en je bekende contact op de hoogte brengen dat zijn device naar alle waarschijnlijkheid is geïnfecteerd is met Android malware.

Aanbiedingen zoals het winnen van een nieuwe mobiele telefoon zijn vaak te mooi om waar te zijn net als wanneer je deze zou krijgen via een phishingmail.

Source, Source2

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Nieuwe wormachtige Android malware verspreid zich via WhatsApp
De huidige Ransomware en Phishing aanvallen Trends

Gerelateerde berichten

VMware

Kritieke RCE kwetsbaarheden voor VMware ESXi en vSphere Client

Microsoft

Microsoft trekt defecte servicing stack update in na problemen voor gebruikers

Ransomware

De huidige Ransomware en Phishing aanvallen Trends

Android malware

Nieuwe wormachtige Android malware verspreid zich via WhatsApp

dnsspooq

DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder

malware

Kwaadaardige software infrastructuur eenvoudiger te verkrijgen en uit te rollen dan ooit

2021

Cybersecurity Trends in 2021

6 vragen die aanvallers zichzelf stellen, voordat ze overgaan op het aanvallen van een systeem

Contact Form 7

Kritieke kwetsbaarheid in Contact Form 7 WordPress plug-in maakt overname van 5M sites mogelijk

SolarWinds

Backdoor aangetroffen in SolarWinds Orion software updates

phishing

Microsoft.com wordt gespooft in spearphishing aanval richting 200 miljoen Office 365 gebruikers

Oracle

Meerdere botnets maken misbruik van kritieke Oracle WebLogic kwetsbaarheden

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

10 + veertien =

Menu