Cisco Talos discutida uma campanha maliciosa destinada a roubar as credenciais do usuário e outras informações importantes. Eles relataram que o Infostealer Agent Tesla tinha uma conta-gotas incomum.
Tele malwares, ataques cujos começou em janeiro, utiliza o carregador de arranque original para protecção de bypass anti-vírus e injectar o seu código para um processo legítimo em uma máquina infectada. A carga útil é o Agente Tesla, um infostealer bem conhecido que pode roubar credenciais de navegadores, clientes de email, e aplicativos de FTP.“Os adversários usam conta-gotas personalizados, que injetam o malware final em processos comuns na máquina da vítima. Uma vez infectado, o malware pode roubar informações de muitos softwares populares, incluindo o Google Chrome, Navegadores Safari e Firefox ”, - relatório Especialistas Cisco Talos.
A singularidade da campanha identificada reside nos métodos usados pelos cibercriminosos para contornar os sistemas de segurança. O malware é entregue ao dispositivo de destino usando um e-mail de spam, para o qual um arquivo com o Extensão ARJ está ligado. O uso de um empacotador popular nos anos 90 é ditado pelo desejo de dificultar a detecção de conteúdo malicioso – os cibercriminosos esperam que os sistemas de verificação de e-mail não consigam processar o formato desatualizado.
O arquivo de malware contém um arquivo executável, que é um script Autoit ofuscado. Depois de começar, ele verifica a presença de uma máquina virtual usando uma pequena lista de processos e, se estiver ausente, extrai em partes e gera uma carga útil.
“O malware executa todas as operações na memória do dispositivo sem deixar rastros no disco rígido, o que torna ainda mais difícil detectar”, – dizem pesquisadores do Cisco Talos.
O código do instalador contém várias funções que não são usadas nos ataques atuais. Por exemplo, um script é capaz de baixar arquivos adicionais da Internet, bem como trabalhar com a linha de comando.
Na fase final da instalação, o malware decodifica o código do shell, que é criptografado usando o algoritmo de fluxo RC4, e seleciona um dos processos legítimos para a introdução da carga útil. Esta é a versão ofuscada do malware Agent Tesla que pode extrair informações de navegadores e outros softwares.
Leia também: Os criminosos dão links para trojan RAT em WebEx convites
Infostealer é bem conhecido dos especialistas em segurança da informação. O Agente Tesla foi visto mais de uma vez durante Campanhas BEC. Ano passado, o Galeão de Ouro grupo usou correspondências direcionadas e métodos de engenharia social para entregar malware a empresas de transporte’ computadores. Ataques direcionados usando programas de roubo de dados permitiram que os invasores roubassem $4 milhão de operadores de transporte com um baixo nível de segurança da informação em seis meses.
