アップグレードされたエージェントテスラがブラウザとVPNのパスワードを盗み出した
最近のレポートによると、エージェントテスラの新種は、情報盗用型トロイの木馬のように機能しており、ブラウザ、VPN、FTP詳細、電子メール情報などのアプリケーションから認証情報を盗むことに専念しています。
このマルウェアは実際に商用利用が可能です。このマルウェアは.Netフレームワークに基づいており、2014年から市場で活動しているキーロギングトロイの木馬です。
現在の状況では、Agent Teslaマルウェアは、このトロイの木馬を利用して被害者に感染し、キーストロークを追跡し、マシンのスクリーンショットを定期的に取得するさまざまなビジネスメール詐欺詐欺師に人気があります。
このマルウェアは、クリップボードからデータを盗み出すためにも使用でき、システム情報、さらには標的となるコンピューター上のマルウェア対策や内部ソフトウェア分析プロセスを駆除します。
したがって、技術的には資格情報は安全ではありません
最近収集されたマルウェアを盗むサンプルを分析したウォルターという研究者によると、彼は脅威をアプリの設定とユーザーの資格情報の両方をさまざまなアプリケーションから収集するために使用されている専用コードとして発見しました。
彼は、マルウェアがレジストリ設定と関連する構成またはサポートファイルから資格情報を抽出することができると言います。
さらに、彼はまた、Chrome、Chromium、Safari、Brace、Filezilla、Firefox、Thunderbirt、OpenVPN、Outlookなどのほとんどのアプリケーションは、最新のAgent Teslaマルウェア株によって簡単にターゲットにできるほんの一部のサンプルであると付け加えました。
マルウェアが資格情報とアプリの機密情報を収集すると、内部構成にバンドルされている詳細を使用して、FTPまたはSMTP経由でそれらの情報をコマンドアンドコントロールサーバーに配信します。
さらに、ウォルターは、エージェントテスラマルウェアの現在の株が、注入するセカンダリ実行可能ファイルをドロップまたは取得するか、ターゲットホストにすでに存在する既知のバイナリに注入しようとすることを発見しました。
エージェントテスラマルウェアは現在広く使用されているトロイの木馬です
現在のシナリオでは、エージェントテスラは、先週のインタラクティブマルウェア分析プラットフォームAny.Runの分析による上位10のマルウェアのリストに示されているように、ビジネスユーザーとホームユーザーの両方を標的とする攻撃で最もアクティブに利用されているマルウェアの1つです。
このレースでは、Emotetと呼ばれる広く知られた情報盗用マルウェアが、分析のために送信されたサンプルの数で大きく遅れています。実際、エージェントテスラは、先週の脅威全体で、世界中のアップロード数で2番目にランクされています。
エージェントテスラマルウェアは、昨年提出されたサンプルとして約10,000件以上アップロードされているため、昨年12月にAny.Runが公開した詳細によると、最も蔓延している脅威トップ10の2番目にもランクされています。
Spamhaus Malware Labsのボットネット脅威アップデートレポートによると、2020年の第1四半期と第2四半期の間に、マルウェアを盗むマルウェアファミリーに関連するボットネットC2の数が770%増加することも発見されました。
今年4月の初めに、Malwarebytesという名前のセキュリティ分析組織は、エージェントテスラも感染したコンピューターのWi-Fiネットワークからパスワードを盗むための専用モジュールで更新されていることを発見しました。
その後、Bitdefenderはまた、犯罪者がエージェントテスラペイロードトロイの木馬に感染した標的を定めたスピアフィッシングキャンペーンでガスおよび石油産業セクターに所属するさまざまなエンティティを攻撃したことも報告しました。