UPDATE: Agent Tesla Malware gespot met nieuwe bezorg- en ontwijktechnieken

Dit is een update op: Nieuwe wormachtige Android malware verspreid zich via WhatsApp

Beveiligingsonderzoekers hebben nieuwe leverings- en ontwijkingstechnieken ontdekt die zijn aangenomen door Agent Tesla trojan voor externe toegang (RAT) om verdedigingsbarrières te omzeilen en de slachtoffers te spioneren.

De Windows-spyware die zich typisch verspreid via social engineering-lokmiddelen, richt zich nu niet alleen op de Antimalware Scan Interface (AMSI) van Microsoft in een poging om eindpuntbeschermingssoftware te omzeilen, het maakt ook gebruik van een meerfasig installatieproces en maakt gebruik van Tor- en Telegram-messaging-API om te communiceren met een command-and-control (C2) server.

Cybersecuritybedrijf Sophos, dat twee versies van Agent Tesla – versie 2 en versie 3 – momenteel in het wild heeft waargenomen, zei dat de veranderingen nog een teken zijn van de constante evolutie van Agent Tesla, ontworpen om een ​​sandbox en statische analyse moeilijker te maken.

“De verschillen die we zien tussen v2 en v3 van Agent Tesla lijken te zijn gericht op het verbeteren van het succespercentage van de malware tegen sandboxverdedigingen en malwarescanners, en op het bieden van meer C2-opties aan hun aanvallers”, aldus Sophos-onderzoekers.

Agent Tesla is een op .NET gebaseerde keylogger en informatiediefstal en is sinds eind 2014 ingezet bij een aantal aanvallen, met in de loop van de tijd extra functies waarmee het de toetsenbordinvoer van het slachtoffer kan volgen en verzamelen, schermafbeeldingen kan maken en inloggegevens van een verschillende software zoals VPN-clients, FTP- en e-mailclients en webbrowsers.

Onderzoekers van securitybedrijf ESET hebben nieuwe Android Malware ontdekt dat zichzelf verspreid via WhatsApp berichten naar andere contacten om naar alle waarschijnlijkheid het bereik van een adware campagne te vergroten.

“Deze malware verspreid zich via de WhatsApp van het slachtoffer door automatisch te antwoorden op iedere ontvangen notificatie van een WhatsApp bericht met een link naar een malafide Huawei Mobile applicatie,” geeft ESET-onderzoeker Lukas Stefanko aan.

Deze linkt door naar een neppe Huawei Mobile applicatie, welke zich bevindt in een nagemaakte Google Play Store website. In de link wordt daarnaast ook beloofd als de gebruiker de applicaties heeft geïnstalleerd dat deze een mobiele telefoon kan winnen.

Nieuwe functies

Afgelopen mei, tijdens het hoogtepunt van de pandemie, werd ontdekt dat een variant van de malware zich verspreidde via spamcampagnes met een COVID-thema om Wi-Fi-wachtwoorden te stelen naast andere informatie – zoals Outlook-e-mailreferenties – van doelsystemen.

Vervolgens, in augustus 2020, verhoogde de tweede versie van Agent Malware het aantal toepassingen dat gericht was op diefstal van inloggegevens tot 55, waarvan de resultaten vervolgens via SMTP of FTP naar een door een aanvaller bestuurde server werden verzonden.

Hoewel het gebruik van SMTP om informatie naar een door de aanvaller beheerde mailserver te sturen al in 2018 werd opgemerkt, bleek een van de nieuwe versies die door Sophos werden geïdentificeerd ook Tor-proxy te gebruiken voor HTTP-communicatie en de messaging-app Telegram’s API om de informatie door te geven naar een privéchatroom.

Daarnaast heeft het meerfasige malware-installatieproces van Agent Tesla een aanzienlijke upgrade gekregen, waarbij de malware-downloader in de eerste fase nu probeert om code in AMSI te wijzigen om scans van kwaadaardige ladingen uit de tweede fase over te slaan die zijn opgehaald uit Pastebin (of Hastebin).

Deze tussentijdse payload, die stukjes versluierde base64-gecodeerde code zijn, wordt vervolgens gedecodeerd om de loader op te halen die wordt gebruikt om de Agent Tesla-malware te injecteren.

AMSI is een interfacestandaard waarmee toepassingen en services kunnen worden geïntegreerd met elk bestaand antimalware product dat aanwezig is op een Windows-machine.

Om persistentie te bereiken, kopieert de malware zichzelf bovendien naar een map en stelt de attributen van die map in op “Verborgen” en “Systeem” om het aan het zicht te houden in Windows Verkenner, legden de onderzoekers uit.

“De meest voorkomende afleveringsmethode voor Agent Tesla is kwaadaardige spam”, aldus Sean Gallagher en Markel Picado van Sophos.

“De e-mailaccounts die worden gebruikt om Agent Tesla te verspreiden, zijn vaak legitieme accounts die zijn gecompromitteerd. Organisaties en individuen moeten, zoals altijd, e-mailbijlagen van onbekende afzenders voorzichtig behandelen en bijlagen verifiëren voordat ze ze openen.”

Advies

Aan iedereen wordt geadviseerd om een aware training te volgen om scenarios te kunnen herkennen.

Aan iedereen wordt geadviseerd mocht je via WhatsApp een link toegestuurd krijgen van een vertrouwd contact die je niet (helemaal) vertrouwd, dan niet op deze link te klikken en je bekende contact op de hoogte brengen dat zijn device naar alle waarschijnlijkheid is geïnfecteerd is met Android malware.

Aanbiedingen zoals het winnen van een nieuwe mobiele telefoon zijn vaak te mooi om waar te zijn net als wanneer je deze zou krijgen via een phishingmail.

Source, Source2

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Nieuwe wormachtige Android malware verspreid zich via WhatsApp
De huidige Ransomware en Phishing aanvallen Trends

Gerelateerde berichten

Microsoft

Microsoft Patch Tuesday mei 2021 patcht 55 kwetsbaarheden

21Nails kwetsbaarheden in veel gebruikte Exim-mailservers

FluBot

FluBot Android banking malware verspreid zich snel door Europa

Pulse Secure zero-day

Zero-day kwetsbaarheid in Pulse Secure actief misbruikt en patch nog niet beschikbaar

IcedID

IcedID trojaans paard wordt verspreid via contactformulieren van websites

VMware

Kritieke Cloud kwetsbaarheid in VMWare Carbon Black

Apple brengt urgente patch uit voor actief aangevallen zero-day kwetsbaarheid

f5 kwetsbaarheid

Kritieke F5 BIG-IP kwetsbaarheid na PoC actief aangevallen

Mirai

Nieuwe Mirai botnet variant richt zich op SonicWall, D-link, Netgear en IoT devices

Een tikkende tijdbom

4 actief aangevallen zero-day kwetsbaarheden in Exchange gepatcht door Microsoft

VMware

Kritieke RCE kwetsbaarheden voor VMware ESXi en vSphere Client

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

1 × een =

Menu