O malware Agent Tesla está entre as ferramentas mais populares usadas por hackers para lançar campanhas globais de phishing. A análise mostra que a vulnerabilidade CVE-2017-11882 está sendo usada em combinação com documentos de malware para levar ao arquivo de carga inicial.
Malware do agente Tesla entregue via vulnerabilidade CVE-2017-11882, Leva a campanhas globais de phishing
Descobriu-se que hackers de computador usam o Malware do agente Tesla que em sua forma mais básica é um keylogger usando documentos infectados. O coletivo criminoso está usando estratégias de phishing para distribuir os arquivos. A técnica em questão baseia-se na criação de arquivos nos formatos de documento mais populares e na incorporação dentro deles. O malware do Agente Tesla pode ser adquirido nos mercados clandestinos de hackers em um pacote de assinatura, permitindo que os hackers personalizem e editem parâmetros importantes de acordo com os usuários-alvo prescritos.
Descobriu-se que coletivos criminosos fazem isso, aproveitando uma vulnerabilidade rastreada no CVE-2017-11882 consultivo. Este é um bug no editor de equação que é um dos programas do Office usados para visualizar os documentos. Quando esses arquivos são abertos pelos usuários e seus programas não são atualizados adequadamente, os aplicativos irão baixar um arquivo remoto e executá-lo. Isto é o downloader de primeiro estágio que levará à infecção do Agente Tesla.
O malware do Agente Tesla exibe recursos que são muito semelhantes a alguns Trojans populares, incluindo a capacidade de habilitar vigilância constante das vítimas. Isso é feito investigando o sistema em busca de quaisquer dispositivos, como microfones e webcams. Isso permitirá que o motor principal faça capturas de tela, gravar vídeo e áudio e também espionar as atividades dos usuários em tempo real. Todos os dados serão gravados e transmitidos aos hackers usando a conexão persistente feita.
No entanto, descobriu-se que o agente Tesla exibe uma técnica incomum – ele usará um endereço de e-mail que comunicará comandos e receberá dados. O motor usará mecanismos integrados para enviar as informações necessárias. Isso também inclui o uso de diferentes protocolos – seu uso provavelmente contornará firewalls e sistemas de detecção de intrusão.