Der aktualisierte Agent Tesla hat festgestellt, dass er die Passwörter von Browsern und VPNs gestohlen hat
Laut jüngsten Berichten verhalten sich die neuen Stämme von Agent Tesla wie ein Trojaner, der Informationen stiehlt und nun auch Anmeldeinformationen von Anwendungen wie Browsern, VPNs, FTP-Details und E-Mail-Informationen stiehlt.
Diese Malware ist tatsächlich für den kommerziellen Gebrauch verfügbar. Diese Malware basiert auf dem .NET-Framework und ist ein Keylogging-Trojaner, der seit 2014 auf dem Markt aktiv ist.
In der aktuellen Situation ist die Agent Tesla-Malware bei verschiedenen Betrügern von geschäftlichen E-Mail-Kompromissen beliebt, die diesen Trojaner verwenden, um ihre Opfer zu infizieren, ihre Tastenanschläge zu verfolgen und regelmäßig Screenshots von ihrem Computer zu machen.
Die Malware kann auch zum Stehlen von Daten aus der Zwischenablage, von Systeminformationen und sogar zum Abtöten von Antimalware und internen Softwareanalysen auf Zielcomputern verwendet werden.
Technisch gesehen sind also keine Anmeldeinformationen sicher
Laut einem Forscher namens Walter, der kürzlich gesammelte Beispiele für Infostealing-Malware analysierte, stellte er fest, dass die Bedrohung ein dedizierter Code ist, der sowohl zum Sammeln der App-Konfiguration als auch der Benutzeranmeldeinformationen von verschiedenen Anwendungen verwendet wird.
Er sagt, dass die Malware in der Lage ist, Anmeldeinformationen aus den Registrierungseinstellungen sowie aus zugehörigen Konfigurations- oder Unterstützungsdateien zu extrahieren.
Darüber hinaus fügte er hinzu, dass die meisten Anwendungen wie Chrome, Chromium, Safari, Brace, Filezilla, Firefox, Thunderbirt, OpenVPN, Outlook usw. nur einige Beispiele sind, auf die die neuesten Malware-Stämme von Agent Tesla problemlos abzielen können.
Sobald es der Malware gelungen ist, Anmeldeinformationen und App-Confic-Informationen zu sammeln, werden diese Informationen über FTP oder SMTP an ihren Befehls- und Steuerungsserver übermittelt. Dabei werden Details verwendet, die im Lieferumfang der internen Konfiguration enthalten sind.
Darüber hinaus hat der Walter festgestellt, dass aktuelle Stämme von Agent Tesla-Malware häufig sekundäre ausführbare Dateien zum Injizieren löschen oder abrufen oder versuchen, in bekannte Binärdateien zu injizieren, die bereits auf Zielhosts vorhanden sind.
Agent Tesla Malware ist derzeit ein weit verbreiteter Trojaner
Im aktuellen Szenario ist Agent Tesla eine der am aktivsten genutzten Malware-Varianten bei Angriffen, die sowohl auf Geschäfts- als auch auf Privatanwender abzielen. Dies geht aus der Liste der Top-10-Malware gemäß der Analyse der interaktiven Malware-Analyseplattform Any.Run in der letzten Woche hervor.
In diesem Rennen liegt die weithin bekannte Infostealing-Malware namens Emotet bei der Anzahl der zur Analyse eingereichten Proben weit zurück. Tatsächlich steht Agent Tesla nach den Bedrohungen der letzten Woche an zweiter Stelle in der Liste, gemessen an der Anzahl der Uploads auf der ganzen Welt.
Die Malware von Agent Tesla belegt laut Angaben von Any.Run im Dezember letzten Jahres den zweiten Platz unter den zehn am häufigsten auftretenden Bedrohungen, da sie im vergangenen Jahr als übermitteltes Beispiel auf über 10.000 hochgeladen wurde.
Zwischen dem ersten und zweiten Quartal 2020 wurde laut den Botnet Threat Update-Berichten von Spamhaus Malware Labs auch ein Anstieg der Anzahl der Botnets C2 um 770% im Zusammenhang mit der Infostealing-Malware-Familie festgestellt.
Anfang April dieses Jahres hat eine Sicherheitsanalyseorganisation namens Malwarebytes festgestellt, dass Agent Tesla auch mit einem neuen Modul aktualisiert wurde, mit dem Kennwörter aus Wi-Fi-Netzwerken infizierter Computer gestohlen werden können.
Später berichtete der Bitdefender auch, dass Kriminelle in gezielten Spearphishing-Kampagnen, die von Nutzlast-Trojanern von Agent Tesla infiziert wurden, verschiedene Unternehmen aus der Gas- und Ölindustrie angegriffen haben.