Meldung

"Agent Tesla" trickst IT-Sicherheit mit neuen Techniken aus

Sophos stellt einen neuen Report zur Malware Agent Tesla vor: "Agent Tesla Amps Up Information Stealing Attacks". Darin beschreiben die IT-Security-Spezialisten, wie Angreifer mit neuen Techniken den Schutz am Endpoint ausschalten, bevor sie die Malware in das System einschleusen.
Agent Tesla ist ein weit verbreitetes Remote Access Tool (RAT), das seit 2014 bekannt ist und von Angreifern für den Datendiebstahl eingesetzt wird – jetzt sind neue Updates zu Details zu den Angriffen ans Licht gekommen. Die Macher bieten es in Dark-Web-Foren zum Verkauf an und aktualisieren es kontinuierlich. Cyberkriminelle verbreiten Agent Tesla in der Regel als Anhang über Spam-E-Mails.

Die Techniken zeichnen sich durch einen mehrstufigen Prozess aus, bei dem ein .NET-Downloader einzelne Malware-Bausteine von offiziellen Drittanbieter-Websites – etwa pastebin und hastebin – abgreift und anschließend die Bausteine zusammensetzt, um mit der komplettierten Malware ihr Unwesen zu treiben. Gleichzeitig versucht die Malware, den Code in Microsofts Anti-Malware Software Interface (AMSI) zu verändern – eine Windows-Funktion, die es Anwendungen und Diensten ermöglicht, sich in installierte Sicherheitsprodukte zu integrieren. Damit setzen die Cyberkriminellen den AMSI-aktivierten Endpunkt-Sicherheitsschutz außer Funktion, so dass die Malware ohne Hindernisse heruntergeladen, installiert und ausgeführt werden kann.

Der neue Report von Sophos [1] beschreibt detailliert die beiden im Umlauf befindlichen Versionen von Agent Tesla. Beide verfügen über aktuelle Updates, wie z.B. die Anzahl der Anwendungen, die für den Diebstahl von Anmeldeinformationen anvisiert werden. Dazu gehören u.a. Webbrowser, E-Mail-Clients, Virtual Private Network-Clients und andere Software, die Benutzernamen und Kennwörter speichern. Zudem besteht die Möglichkeit, Tastatureingaben zu erfassen und Screenshots aufzuzeichnen.

Die Unterschiede zwischen den beiden Versionen zeigen, wie Angreifer das RAT in letzter Zeit weiterentwickelt haben und nun mehrere Techniken für die Umgehung der Security und der Verschleierung einsetzen. Dazu gehören Optionen zur Installation und Nutzung des anonymisierenden Netzwerk-Clients Tor, die Telegram-Messaging-API für die Command-and-Control-Kommunikation (C2) sowie das Anvisieren von Microsofts AMSI.

"Agent-Tesla-Malware ist seit mehr als sieben Jahren aktiv, dennoch bleibt sie eine der häufigsten Bedrohungen für Windows-Nutzer. Sie zählt zu den Top-Malware-Familien, die im Jahr 2020 per E-Mail verbreitet wurden. Im Dezember machte Agent Tesla rund 20 Prozent der schädlichen E-Mail-Attacken aus, die von Sophos-Scannern abgefangen wurden", sagt Michael Veit, Technology Evangelist bei Sophos. "Eine Vielzahl von Angreifern nutzt die Malware, um Benutzeranmeldedaten und andere Informationen durch Screenshots, Tastaturprotokollierung und Clipboard-Capture zu stehlen."
3.02.2021/dr

Tipps & Tools

Google finanziert Sicherheitsspezialisten für Linux-Kernel [5.03.2021]

Die Linux Foundation stellt zwei langjährige Maintainer als neue hauptamtliche Sicherheitsspezialisten vor: Von Google finanziert sollen sich Gustavo Silva und Nathan Chancellor ausschließlich um die Sicherheit des Linux-Kernels sowie um damit verbundene Initiativen kümmern. [mehr]

Sicherheitslücken in VMware ESXi und vSphere Client [2.03.2021]

Kürzlich wurden drei Schwachstellen in VMware ESXi und vSphere Web-Client entdeckt. Ein böswilliger Akteur mit Netzwerkzugriff auf Port 427 beziehungsweise Port 443 könnte die Sicherheitslücken nutzen, um Code auf dem vCenter-Server-Betriebssystem auszuführen oder Informationen durch eine POST-Anfrage abzugreifen. Es seien bereits Updates verfügbar, um die Schwachstellen in den betroffenen VMware-Produkten zu beheben. [mehr]

Fachartikel

Machine Learning in Web Application Firewalls [10.02.2021]

Das Potenzial von Machine-Learning-Modellen in Sicherheitsprodukten wie Web Application Firewalls ist groß. Statistische Lösungsansätze bringen aber neue Gefahren mit sich. Die Kunst ist, zu erkennen, in welchen Bereichen die Systeme einen tatsächlichen Mehrwert liefern und wie diese gestaltet werden müssen, um Anforderungen an Sicherheit und laufenden Betrieb zu erfüllen. Fundiertes Fachwissen im Bereich Applikationssicherheit und Machine Learning ist dabei zentral für den Erfolg eines solchen Projekts. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen