Le varianti del malware dell’agente Tesla stanno ora utilizzando nuove tecniche di evasione per la barriera di difesa antivirus degli end-point.
Nato come keylogger e info-stealer, negli anni Agent Tesla si è evoluto ed ha assunto i connotati di un potente RAT per il controllo completo da remoto del target, aggiungendo ulteriori capacità spyware in grado di carpire oltre che impostazioni e account wifi anche credenziali di client di posta elettronica, VPN e browser.
Tipicamente diffuso attraverso esche di ingegneria sociale, lo spyware di Windows non solo ora prende di mira l’Antimalware Scan Interface (AMSI) di Microsoft nel tentativo di sconfiggere il software di protezione degli end-point, ma impiega anche un processo di installazione in più fasi e fa uso dell’API di messaggistica Tor (molto popolare nella dark web) e Telegram per comunicare con un server di comando e controllo (C2).
Gli operatori dell’agente Tesla cercheranno ora di manomettere AMSI per degradarne le difese e rimuovere la protezione degli endpoint nel punto di esecuzione. In caso di successo, ciò consente al malware di distribuire il suo carico utile completo.
Sophos, che ha osservato le due versioni dell’agente Tesla – versione 2 e versione 3 – attualmente allo stato brado, ha affermato che i cambiamenti sono un altro segno della costante evoluzione dell’agente Tesla progettata per rendere più difficile una sandbox e un’analisi statica.
Le differenze tra la v2 e la v3 dell’agente Tesla sembrano concentrarsi sul miglioramento del tasso di successo del malware contro le difese sandbox e gli scanner malware e sul fornire più opzioni C2 ai loro clienti attaccanti.
Scoperto per la prima volta nel 2014, l’Agente Tesla è un RAT commerciale scritto in .NET ed è un noto ladro di informazioni. Il malware viene spesso diffuso attraverso campagne di phishing e allegati e-mail dannosi e viene utilizzato per raccogliere ed esfiltraer le credenziali dell’account, rubare i dati di sistema e fornire agli aggressori l’accesso remoto a un PC compromesso.
Lo scorso maggio, durante l’apice della pandemia, è stato scoperto che una variante del malware si diffonde tramite campagne di spam a tema COVID per rubare le password Wi-Fi insieme ad altre informazioni, come le credenziali di posta elettronica di Outlook, dai sistemi di destinazione.
Quindi, nell’agosto 2020, la seconda versione di Agent Malware ha aumentato a 55 il numero di applicazioni mirate al furto di credenziali, i cui risultati sono stati poi trasmessi a un server controllato da un utente malintenzionato tramite SMTP o FTP.
Mentre l’uso di SMTP per inviare informazioni a un server di posta controllato dall’attaccante è stato individuato nel lontano 2018, è stato anche scoperto che una delle nuove versioni sfrutta il proxy Tor per le comunicazioni HTTP e l’API di Telegram dell’app di messaggistica per trasmettere le informazioni in una chat room privata.
Oltre a questo, il processo di installazione del malware in più fasi dell’agente Tesla ha ricevuto un aggiornamento significativo, con il downloader di malware di prima fase che ora tenta di modificare il codice in AMSI nel tentativo di saltare le scansioni dei payload dannosi di seconda fase recuperati da Pastebin (o Hastebin) .
Questi payload provvisori, che sono blocchi di codice offuscato con codifica base64, vengono successivamente decodificati per recuperare il caricatore utilizzato per iniettare il malware Agent Tesla.
AMSI è uno standard di interfaccia che consente di integrare applicazioni e servizi con qualsiasi prodotto antimalware esistente presente su una macchina Windows.
Inoltre, per ottenere la persistenza, il malware si copia in una cartella e imposta gli attributi di quella cartella su “Nascosto” e “Sistema” per nasconderlo alla vista in Esplora risorse, hanno spiegato i ricercatori.
Il metodo di consegna più diffuso per l’agente Tesla è lo spam dannoso. Gli account di posta elettronica utilizzati per diffondere l’agente Tesla sono spesso account legittimi che sono stati compromessi.
Nel Dicembre 2020 i payload dell’agente Tesla rappresentavano circa il 20% di tutti gli allegati e-mail dannosi.
Le organizzazioni e gli individui dovrebbero, come sempre, trattare con cautela gli allegati di posta elettronica provenienti da mittenti sconosciuti e verificare gli allegati prima di aprirli, oltre che adottare soluzioni innovative ed evolute in grado di bloccare questi tipi di attacco come VOTIRO, che grazie alla tecnologia del Content Disarm and Reconstruction, disarma le minacce ancor prima che raggiungano l’azienda, garantendo la sicurezza di tutti i file che vengono inviati tramite email