Agente Tesla atualizado encontrado roubando senhas de navegador e VPN
De acordo com relatórios recentes, as novas variedades do Agente Tesla estão agindo como um trojan que rouba informações, agora dedicado a roubar credenciais de aplicativos como navegadores, VPNs, detalhes de FTP e informações de e-mail também.
Na verdade, esse malware está disponível para uso comercial. Este malware é baseado na estrutura .Net e é um trojan de keylogging que está ativo no mercado desde 2014.
Na situação atual, o malware do Agente Tesla é popular entre vários golpistas de comprometimento de e-mail comercial que utilizam este cavalo de Tróia para infectar suas vítimas e rastrear seus pressionamentos de tecla e tirar screenshots de suas máquinas periodicamente.
O malware também pode ser usado para roubar dados da área de transferência, informações do sistema e até mesmo antimalware top kill e processo de análise de software interno nos computadores visados.
Então, tecnicamente, nenhuma credencial é segura
De acordo com um pesquisador chamado walter, que analisou amostras coletadas recentemente de malware infostealing, ele encontrou a ameaça como um código dedicado que está sendo usado para coletar a configuração do aplicativo e as credenciais do usuário, bem como de vários aplicativos.
Ele diz que o malware é capaz de extrair credenciais de configurações de registro, bem como configurações relacionadas ou arquivos de suporte.
Além disso, ele também acrescentou que a maioria dos aplicativos como Chrome, Chromium, Safari, Brace, Filezilla, Firefox, Thunderbirt, OpenVPN, Outlook, etc são apenas alguns exemplos que podem ser facilmente direcionados pelas últimas cepas de malware do Agente Tesla.
Depois que o malware consegue coletar credenciais e informações confidenciais do aplicativo, ele as usa para entregar essas informações ao seu servidor de comando e controle por meio de FTP ou SMTP usando detalhes que vêm junto com sua configuração interna.
Além disso, o walter descobriu que as cepas atuais de malware do Agente Tesla geralmente descartam ou recuperam executáveis secundários para injetar ou tentam injetar em binários conhecidos que já estão presentes nos hosts alvo.
O malware do agente Tesla é atualmente um trojan amplamente usado
No cenário atual, o Agente Tesla é uma das variantes de malware mais ativamente utilizadas em ataques que têm como alvo usuários corporativos e domésticos, conforme mostrado pela lista dos 10 principais malwares de acordo com a análise da plataforma interativa de análise de malware Any.Run durante a semana passada.
Nessa corrida, o amplamente conhecido malware infostealing chamado Emotet está muito atrás no número de amostras enviadas para análise. Na verdade, o Agente Tesla está classificado em segundo lugar na lista de ameaças da semana passada pelo número de uploads no globo.
O malware do agente Tesla também está classificado em segundo lugar no top 10 das ameaças mais prevalentes, de acordo com detalhes publicados pela Any.Run em dezembro do ano passado, já que foi carregado em cerca de 10.000 como amostra enviada no ano passado.
Entre o primeiro e o segundo trimestre de 2020, um aumento de 770% no número de botnets C2 associado à família de malware infostealing também foi descoberto, de acordo com os relatórios de atualização de ameaças de botnet do Spamhaus Malware Labs.
No início deste ano, em abril, uma organização de análise de segurança chamada Malwarebytes descobriu que o Agente Tesla também foi atualizado com um novo módulo dedicado a roubar senhas de redes Wi-Fi de computadores infectados.
Mais tarde, o Bitdefender também relatou que os criminosos atacaram várias entidades pertencentes aos setores da indústria de gás e petróleo em campanhas de spearphishing altamente direcionadas que foram infectadas por cavalos de Tróia do Agente Tesla.
