L’agente Tesla aggiornato ha scoperto di rubare le password del browser e della VPN
Secondo recenti rapporti, i nuovi ceppi dell’agente Tesla si comportano come un trojan che ruba informazioni ora dedicato a rubare credenziali da applicazioni come browser, VPN, dettagli FTP e informazioni e-mail.
Questo malware è attualmente disponibile per uso commerciale. Questo malware si basa sul framework .Net ed è un trojan di keylogging attivo sul mercato dal 2014.
Nella situazione attuale, il malware Agent Tesla è popolare tra vari truffatori di compromissione della posta elettronica aziendale che utilizzano questo trojan per infettare le loro vittime e tenere traccia dei loro colpi chiave e acquisire periodicamente screenshot della loro macchina.
Il malware può anche essere utilizzato per rubare dati dagli appunti, informazioni di sistema e persino per eliminare l’antimalware e il processo di analisi del software interno su computer mirati.
Quindi, tecnicamente nessuna credenziale è sicura
Secondo un ricercatore di nome walter che ha analizzato campioni di malware infostealing recentemente raccolti, ha trovato la minaccia come un codice dedicato che viene utilizzato per raccogliere sia la configurazione dell’app che le credenziali dell’utente, nonché da varie applicazioni.
Dice che il malware è in grado di estrarre le credenziali dalle impostazioni del registro, nonché dalla configurazione correlata o dai file di supporto.
Inoltre, ha anche aggiunto che la maggior parte delle applicazioni come Chrome, Chromium, Safari, Brace, Filezilla, Firefox, Thunderbirt, OpenVPN, Outlook, ecc.Sono solo alcuni esempi che possono essere facilmente presi di mira dagli ultimi ceppi di malware di Agent Tesla.
Una volta che il malware riesce a raccogliere le credenziali e le informazioni sul confic delle app, le utilizza per fornire tali informazioni al suo server di comando e controllo tramite FTP o SMTP utilizzando i dettagli forniti in bundle con la sua configurazione interna.
Inoltre, il walter ha scoperto che gli attuali ceppi di malware dell’Agente Tesla spesso rilasciano o recuperano eseguibili secondari da iniettare o cercheranno di iniettare in binari noti che sono già presenti su host mirati.
Il malware dell’agente Tesla è attualmente un trojan ampiamente utilizzato
Nello scenario attuale, l’agente Tesla è una delle varianti di malware più attivamente utilizzate negli attacchi che prendono di mira sia gli utenti aziendali che quelli domestici, come mostrato dall’elenco dei primi 10 malware secondo l’analisi della piattaforma di analisi interattiva del malware Any.Run durante la scorsa settimana.
In questa gara, il famosissimo malware infostealing chiamato Emotet è molto indietro nel numero di campioni inviati per l’analisi. In realtà, l’agente Tesla è al secondo posto nell’elenco delle minacce della scorsa settimana per numero di caricamenti sul globo.
Secondo i dettagli pubblicati da Any.Run a dicembre dello scorso anno, il malware dell’agente Tesla è al secondo posto tra le prime 10 minacce più diffuse, poiché è stato caricato circa più di 10.000 come campione presentato l’anno scorso.
Tra il primo e il secondo trimestre del 2020, secondo i rapporti Botnet Threat Update di Spamhaus Malware Labs è stato scoperto anche un aumento del 770% nel numero di botnet C2 associate alla famiglia di malware infostealing.
All’inizio di quest’anno, ad aprile, un’organizzazione di analisi della sicurezza chiamata Malwarebytes ha scoperto che anche l’agente Tesla è stato aggiornato con un nuovo modulo dedicato a rubare le password dalle reti Wi-Fi dei computer infetti.
Successivamente, Bitdefender ha anche riferito che i criminali hanno attaccato varie entità appartenenti ai settori dell’industria del gas e del petrolio in campagne di spearphishing altamente mirate che sono state infettate dai trojan payload dell’agente Tesla.