Nueva campaña de malware que descarga el troyano Agente Tesla

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Cisco Talos ha descubierto una nueva campaña de malware que propaga el sofisticado troyano de robo de información Agente Tesla y otro malware, como el ladrón de información Loki. Inicialmente, los sistemas de telemetría de Talos detectaron un documento altamente sospechoso que no fue detectado por las soluciones antivirus comunes. Sin embargo, la plataforma unificada de inteligencia y amenazas de malware de Cisco, Threat Grid, identificó el archivo desconocido como malware.

Los adversarios detrás de este malware utilizan una conocida cadena de exploits, pero la modificaron de tal manera que las soluciones antivirus no la detecten. Si no se detecta, Agente Tesla tiene la capacidad de robar la información de inicio de sesión del usuario de una serie de piezas importantes de software, como Google Chrome, Mozilla Firefox, Microsoft Outlook, y muchas otras. También se puede usar para capturar capturas de pantalla, grabar cámaras web y permitir a los atacantes instalar malware adicional en los sistemas infectados.

En la mayoría de los casos, la primera etapa del ataque ocurrió de manera similar a la campaña de malware FormBook. Los actores detrás de dicha campaña utilizaron CVE-2017-0199, una vulnerabilidad de ejecución de código remota en varias versiones de Microsoft Office, para descargar y abrir un documento RTF desde un archivo DOCX malicioso. También se ha observado que se están utilizando campañas más nuevas para distribuir Agente Tesla y Loki que están aprovechando CVE-2017-11882. Además de Agente Tesla y Loki, esta infraestructura también distribuye muchas otras familias de malware, como Gamarue, que tiene la capacidad de controlar completamente la máquina de un usuario.