Gli esperti di SophosLabs hanno individuato due nuove varianti del malware Agent Testa, denominate Version 2 e Version 3, ancora più efficaci che aggiungono nuovi metodi di comunicazione e sovvertono le difese del sistema operativo. Entrambe le versioni utilizzano una serie di variabili globali che determinano la funzionalità e il comportamento del malware.
Le differenze tra le due versioni dimostrano come si è evoluto il RAT, impiegando più tipi di evasione della difesa e offuscamento per evitare il rilevamento, comprese le opzioni per installare e utilizzare il client di rete che rende anonimo Tor e l’API di messaggistica di Telegram, per le comunicazioni di comando e controllo (C2). Le differenze tra la v2 e la v3 dell’agente Tesla sembrano concentrarsi sul miglioramento del tasso di successo del malware contro le difese sandbox e gli scanner malware e sul fornire più opzioni C 2 ai loro clienti attaccanti.
Le due versioni dell’agente Tesla utilizzano una serie di metodi sia per rendere più difficile sandbox che per l’analisi statica ed eludere il rilevamento degli endpoint.
“Le modifiche recenti hanno aumentato il numero di applicazioni mirate al furto di credenziali, inclusi browser Web, client di posta elettronica, client di reti private virtuali e altri software che memorizzano nomi utente e password. L’evoluzione dello strumento si estende anche al suo pacchetto di consegna, con una versione che ora prende di mira l’Anti-Malware Software Interface (AMSI) di Microsoft nel tentativo di sconfiggere il software di protezione degli endpoint”, si legge nel report di SophosLabs.
https://news.sophos.com/en-us/2021/02/02/agent-tesla-amps-up-information-stealing-attacks/