Sophos-Report: Weiterentwicklung von RAT Agent Tesla

„Agent Tesla“ trickst IT-Sicherheit mit neuen Techniken aus

4. Februar 2021, 8:00 Uhr |
© Wolfgang Traub

Sophos stellte einen Report zur Malware Agent Tesla vor: „Agent Tesla Amps Up Information Stealing Attacks". Darin beschreiben die IT-Security-Spezialisten, wie Angreifer mit neuen Techniken den Schutz am Endpoint ausschalten, bevor sie die Malware in das System einschleusen.

Agent Tesla ist ein weit verbreitetes Remote Access Tool (RAT), das seit 2014 bekannt ist und Angreifer für den Datendiebstahl eingesetzen – jetzt sind Updates zu Details zu den Angriffen ans Licht gekommen. Die Macher bieten es in Dark-Web-Foren zum Verkauf an und aktualisieren es kontinuierlich. Cyberkriminelle verbreiten Agent Tesla in der Regel als Anhang über Spam-E-Mails.

Die Techniken zeichnen sich durch einen mehrstufigen Prozess aus, bei dem ein .NET-Downloader einzelne Malware-Bausteine von offiziellen Drittanbieter-Websites – etwa Pastebin und Hastebin – abgreift und anschließend die Bausteine zusammensetzt, um mit der komplettierten Malware ihr Unwesen zu treiben. Gleichzeitig versucht die Malware, den Code in Microsofts Anti-Malware Software Interface (AMSI) zu verändern – eine Windows-Funktion, die es Anwendungen und Diensten ermöglicht, sich in installierte Sicherheitsprodukte zu integrieren. Damit setzen die Kriminellen den AMSI-aktivierten Endpunkt-Schutz außer Funktion, so dass die Installation und Ausführung der Malware ohne Hindernisse erfolgen kann.

Der Report von Sophos beschreibt die beiden im Umlauf befindlichen Versionen von Agent Tesla. Beide verfügen über aktuelle Updates, wie zum Beispiel die Anzahl der Anwendungen, die für den Diebstahl von Anmeldeinformationen anvisiert sind. Dazu gehören Web-Browser, E-Mail-Clients, Virtual-Private-Network-Clients und andere Software, die Benutzernamen und Kennwörter speichern. Zudem besteht die Möglichkeit, Tastatureingaben zu erfassen und Screenshots aufzuzeichnen.

Die Unterschiede zwischen den beiden Versionen zeigen, wie Angreifer das RAT in letzter Zeit weiterentwickelt haben und nun mehrere Techniken für die Umgehung der Security und der Verschleierung einsetzen. Dazu gehören Optionen zur Installation und Nutzung des anonymisierenden Netzwerk-Clients Tor, die Telegram-Messaging-API für die Command-and-Control-Kommunikation (C2) sowie das Anvisieren von AMSI.

Anbieter zum Thema

zu Matchmaker+

  1. „Agent Tesla“ trickst IT-Sicherheit mit neuen Techniken aus
  2. Sophos-Tipps für mehr E-Mail-Sicherheit

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Astaro AG

Weitere Artikel zu Endpoint-Sicherheit

Weitere Artikel zu General Electric Dtl. Holding GmbH

Weitere Artikel zu Laplink

Weitere Artikel zu Dasient

Weitere Artikel zu Siemens Enterprise Communications GmbH & Co. KG Leipzig

Matchmaker+