Uma nova variante do malware Agent Tesla foi observada sendo entregue por meio de um arquivo isca com o formato de compressão ZPAQ para colher dados de vários clientes de email e quase 40 navegadores da web.
"ZPAQ é um formato de compressão de arquivos que oferece uma melhor taxa de compressão e função de registro em relação a formatos amplamente usados como ZIP e RAR", disse a analista de malware da G Data, Anna Lvova, em uma análise de segunda-feira.
"Isso significa que os arquivos ZPAQ podem ser menores, economizando espaço de armazenamento e largura de banda ao transferir arquivos.
No entanto, o ZPAQ tem a maior desvantagem: suporte de software limitado."
Aparecendo pela primeira vez em 2014, o Agent Tesla é um keylogger e um trojan de acesso remoto (RAT) escrito em .NET que é oferecido a outros atores de ameaças como parte de um modelo de malware como serviço (MaaS).
Costuma ser usado como um payload de primeira etapa, proporcionando acesso remoto a um sistema comprometido e utilizado para baixar ferramentas de segunda etapa mais sofisticadas, como ransomware.
O Agent Tesla é normalmente entregue via emails de phishing, com campanhas recentes explorando uma vulnerabilidade de corrupção de memória de seis anos no Equation Editor do Microsoft Office (
CVE-2017-11882
).
A última cadeia de ataque começa com um email contendo um anexo de arquivo ZPAQ que se pretende ser um documento PDF, a abertura do qual extrai um executável .NET inchado que é principalmente preenchido com bytes zero para inflar artificialmente o tamanho da amostra para 1 GB numa tentativa de contornar medidas de segurança tradicionais.
"A principal função do executável .NET descompactado é baixar um arquivo com extensão .wav e descriptografá-lo", explicou Lvova.
"Usar extensões de arquivo comumente usadas disfarça o tráfego como normal, tornando mais difícil para as soluções de segurança de rede detectar e prevenir atividades maliciosas."
O objetivo final do ataque é infectar a máquina final com o Agent Tesla disfarçado com .NET Reactor, um software legítimo de proteção de código.
As comunicações de comando e controle (C2) são realizadas via Telegram.
O desenvolvimento é um sinal de que os atores de ameaças estão experimentando formatos de arquivos incomuns para a entrega de malware, exigindo que os usuários estejam atentos para emails suspeitos e mantenham seus sistemas atualizados.
"O uso do formato de compressão ZPAQ levanta mais perguntas do que respostas", disse Lvova.
"As suposições aqui são de que ou os atores de ameaças estão visando um grupo específico de pessoas que têm conhecimento técnico ou usam ferramentas de arquivamento menos conhecidas, ou eles estão testando outras técnicas para espalhar malware mais rapidamente e contornar o software de segurança."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...