Agent Tesla-Malware wurde mit neuen Modulen zum Stehlen von Berechtigungsnachweisen aktualisiert.
Sicherheitsforscher haben neue Varianten der Agent Tesla-Malware entdeckt, die jetzt Module enthalten, die in der Lage sind, Berechtigungsnachweise von vielen beliebten Anwendungen wie Webbrowsern, VPN-Software sowie FTP- und E-Mail-Clients zu stehlen.
Agent Tesla wurde erstmals 2014 entdeckt und ist ein Keylogger und Informationsdieb, der in den letzten zwei Jahren bei Cyberkriminellen immer beliebter wurde. Die Malware wurde zunächst in verschiedenen Hacker-Foren und auf Marktplätzen verkauft, und die Entwickler stellten den Kunden die Malware selbst sowie ein Verwaltungspanel zur Verfügung, damit sie die gesammelten Daten einfach sortieren können.
Jim Walter, leitender Bedrohungsforscher bei SentinelOne, entdeckte nach der Analyse mehrerer neuer Proben der Agent Tesla-Malware dedizierten Code, der zum Sammeln von App-Konfigurationsdaten und Benutzeranmeldeinformationen verwendet wird. In einem Blog-Beitrag gab Walter weitere Einblicke in die Fähigkeiten dieser neuen Module:
„Derzeit wird Agent Tesla weiterhin in verschiedenen Phasen von Angriffen eingesetzt. Seine Fähigkeit, die Geräte der Opfer beharrlich zu verwalten und zu manipulieren, ist für Kriminelle auf niedriger Ebene nach wie vor attraktiv. Agent Tesla ist jetzt in der Lage, Konfigurationsdaten und Zugangsdaten von einer Reihe gängiger VPN-Clients, FTP- und E-Mail-Clients und Web-Browsern zu sammeln. Die Malware ist in der Lage, Anmeldeinformationen aus der Registrierung sowie zugehörige Konfigurations- oder Supportdateien zu extrahieren.
Agent Tesla-Varianten
Die Analyse der neuesten Agent Tesla-Varianten durch SentinelOne hat ergeben, dass die Malware nun in der Lage ist, Benutzerdaten aus einer Reihe beliebter Anwendungen zu stehlen, darunter Google Chrome, Chromium, Safari, Mozilla Firefox, Microsoft Edge, Opera, Microsoft Outlook, Mozilla Thunderbird, OpenVPN und andere.
Sobald die Malware die Anmeldedaten und die Konfigurationsdaten einer Anwendung von einem bestimmten Programm erbeutet hat, liefert sie diese Informationen über FTP oder STMP an ihren Command-and-Control-Server (C2), indem sie die in ihrer internen Konfiguration enthaltenen Anmeldedaten verwendet.
Walter wies in seinem Blog-Beitrag auch darauf hin, dass aktuelle Varianten von Agent Tesla häufig „sekundäre ausführbare Dateien ablegen oder abrufen“, die dann in bekannte und anfällige Binärdateien auf einem Ziel-Host eingespeist werden.
Agent Tesla gibt es zwar schon seit Jahren, aber die neuen Module, die der Malware hinzugefügt wurden, machen sie beim Diebstahl von Benutzerdaten noch effektiver.
