Una nueva variante del Agente Tesla Se ha observado malware entregado a través de un archivo señuelo con el Formato de compresión ZPAQ para recopilar datos de varios clientes de correo electrónico y casi 40 navegadores web.
«ZPAQ es un formato de compresión de archivos que ofrece una mejor relación de compresión y función de registro en diario en comparación con formatos ampliamente utilizados como ZIP y RAR», Anna Lvova, analista de malware de G Data. dicho en un análisis del lunes.
«Eso significa que los archivos ZPAQ pueden ser más pequeños, lo que ahorra espacio de almacenamiento y ancho de banda al transferir archivos. Sin embargo, ZPAQ tiene la mayor desventaja: soporte de software limitado».
Apareciendo por primera vez en 2014, el Agente Tesla es un registrador de teclas y troyano de acceso remoto (RAT) escrito en .NET que se ofrece a otros actores de amenazas como parte de un modelo de malware como servicio (MaaS).
A menudo se utiliza como carga útil de primera etapa, brinda acceso remoto a un sistema comprometido y se utiliza para descargar herramientas de segunda etapa más sofisticadas, como ransomware.
El agente Tesla generalmente se entrega a través de correos electrónicos de phishing, y campañas recientes aprovechan una vulnerabilidad de corrupción de memoria de hace seis años en el Editor de ecuaciones de Microsoft Office (CVE-2017-11882).
La última cadena de ataques comienza con un correo electrónico que contiene un archivo adjunto ZPAQ que pretende ser un documento PDF, al abrirse se extrae un ejecutable .NET inflado que en su mayor parte está relleno con cero bytes para inflar artificialmente el tamaño de la muestra a 1 GB en un esfuerzo por evitar los métodos tradicionales. medidas de seguridad.
«La función principal del ejecutable .NET desarchivado es descargar un archivo con extensión .wav y descifrarlo», explicó Lvova. «El uso de extensiones de archivos de uso común disfraza el tráfico como normal, lo que dificulta que las soluciones de seguridad de red detecten y prevengan actividades maliciosas».
El objetivo final del ataque es infectar el punto final con el Agente Tesla que está ofuscado con Reactor .NET, un software de protección de código legítimo. Las comunicaciones de comando y control (C2) se realizan a través de Telegram.
El desarrollo es una señal de que los actores de amenazas están experimentando con formatos de archivos poco comunes para la entrega de malware, lo que requiere que los usuarios estén atentos a los correos electrónicos sospechosos y mantengan sus sistemas actualizados.
«El uso del formato de compresión ZPAQ plantea más preguntas que respuestas», afirmó Lvova. «Las suposiciones aquí son que los actores de amenazas se dirigen a un grupo específico de personas que tienen conocimientos técnicos o utilizan herramientas de archivo menos conocidas, o están probando otras técnicas para propagar malware más rápido y evitar el software de seguridad».