This post is also available in: Português
Nova campanha de phishing está enviando o malware Agent Tesla, “ressuscitado” para roubar senhas e Bitcoins de PCs com Windows.
No mundo do cibercrime, os crackers mudam para pior. Ficam mais vorazes, inteligentes e colaborativos, aumentando sua presença ao estimular a adesão de novos membros. Como resultado, criam métodos de ataque a todo instante, mas não abrem mão de atualizar antigas ferramentas – que são convertidas em sistemas de invasão bem eficientes.
É o caso do malware Agent Tesla, que surgiu em 2014 e agora volta com força em uma versão remodelada. Está sendo espalhado através de uma campanha de phishing para roubar nomes de usuário, senhas e outras informações confidenciais. Também tem a intenção de furtar criptomoedas, funcionalidade que antes não possuía.
O malware atua com a ajuda de um keylogger, que envia para o invasor tudo o que a vítima está digitando, permitindo que ele veja nomes de usuário, senhas e outros dados sigilosos. Dessa maneira, com a campanha atual, a nova variante do Agent Tesla apresenta uma versão atualizada do malware que é bem mais destrutiva.
O mal revitalizado
As mensagens maliciosas são projetadas para se parecerem com um e-mail convencional. Por exemplo, pedindo ao usuário para abrir um anexo do Excel intitulado “Requisitos e especificações do pedido”. O documento contém uma macro que, se executada, inicia um processo que baixa o Agent Tesla no computador.
Isso é feito em vários estágios, incluindo o download de arquivos PowerShell, a execução do VBScript e a criação de uma tarefa agendada. A ideia é mascarar a instalação do malware, permitindo que o invasor monitore secretamente a atividade na máquina.
Esta versão do Agent Tesla transfere dados para seus controladores a cada 20 minutos, enviando a eles toda e qualquer nova entrada detectada. Ou seja, a cada hora os golpistas recebem três atualizações de tudo o que a vítima faz no PC.
Além disso, o ataque também sequestra carteiras de bitcoin. Ao monitorar a atividade na máquina e o abuso do código do PowerShell, o invasor pode saber da existência de um endereço de bitcoin válido. Se isso for detectado, o código modifica o endereço do bitcoin e o altera para um pertencente ao invasor, permitindo que eles controlem as transferências de criptomoedas.
Malware popular
Apesar de já terem se passado sete anos desde o seu “nascimento”, o Agent Tesla continua famoso entre os criminosos cibernéticos por permanecer eficaz e ser relativamente barato; uma licença de uso pode custar cerca de US$ 15 (aproximadamente R$ 75) em fóruns clandestinos.
Além do baixo custo, os autores do Agent Tesla oferecem suporte técnico 24 horas por dia, 7 dias por semana, permitindo que o malware sirva como um ponto de entrada para crackers com conhecimento ainda não tão avançado. Também por isso é muito prejudicial para qualquer pessoa ou empresa que seja vítima do malware.
Contudo, como muitos dos ataques continuam a ser distribuídos por e-mails de phishing, o estrago pode ser evitado se forem tomadas as devidas precauções. Recomenda-se, então, o uso devido de softwares antivírus ativos para detectar atividades suspeitas, enquanto os usuários devem ter cuidado ao abrir anexos de fontes desconhecidas com e-mails inesperados.
Aí é que mora o perigo. Esses e-mails estão cada vez mais sofisticados e personalizados. Não raro, crackers desenvolvem mensagens customizadas para cada área de negócio, visitando sites de vítimas em potencial. Por exemplo, uma página da web de determinada empresa onde ela coloca os logotipos de seus principais parceiros pode ser um prato cheio para os golpistas. Entretanto, alguns sinais podem revelar o golpe, a exemplo de erros de ortografia, pois materiais legítimos costumam passar por várias correções antes de sua publicação.
Nesse contexto, os funcionários devem receber treinamento constante sobre segurança digital. Afinal, antigas ferramentas voltam à tona com novos meios de se infiltrar nos sistemas – como é o caso do Agent Tesla. Afinal, se os malwares se renovam de tempos em tempos, o conhecimento sobre sua atuação também deve ser renovado.
This post is also available in: Português
