PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182




Varian malware dari Agent Tesla sekarang menggunakan teknik distribusi dan penghindaran deteksi baru untuk melewati pertahanan serta memantau korbannya.

Peneliti dari Sophos mengatakan bahwa dua varian baru dari Remote Access Trojan (RAT) ini menargetkan Anti-Malware Software Interface (AMSI) Microsoft, perangkat lunak pemindaian dan analisis yang dirancang untuk mencegah infeksi malware.

Operator malware Agent Tesla kali ini mencoba mengutak-atik AMSI untuk menurunkan pertahanannya dan menghapus perlindungan endpoint pada titik eksekusi. Jika berhasil, ini memungkinkan malware menyebarkan payload versi full-nya.

Pertama kali ditemukan pada tahun 2014, Agent Tesla adalah RAT komersial yang ditulis dalam .NET dan merupakan pencuri informasi yang terkenal. Malware sering kali menyebar melalui operasi phishing serta lampiran email berbahaya dan digunakan untuk mengambil kredensial akun, mencuri data sistem, dan menyediakan akses jarak jauh ke PC yang disusupi kepada penyerang.

Contoh email phishing mencakup pemberitahuan pengiriman paket, lampiran yang diklaim sebagai katalog, penawaran APD terkait COVID-19, dan bila digunakan terhadap organisasi, mereka mungkin juga terkait dengan masalah bisnis penting seperti faktur.

Metode pengiriman paling luas untuk Agen Tesla adalah spam berbahaya,” kata peneliti. “Akun email yang digunakan untuk menyebarkan malware dari Agent Tesla sering kali merupakan akun sah yang berhasil disusupi. Organisasi dan individu harus, seperti biasa, memperlakukan lampiran email dari pengirim yang tidak dikenal dengan hati-hati, dan memverifikasi lampiran sebelum membukanya.”


Sophos mengatakan bahwa malware, yang sedang dalam pengembangan, dihosting di situs web yang sah termasuk Pastebin, diterbitkan dengan cara dikodekan dan dikaburkan ke dalam base64.

“Potongan” kode tersebut nantinya digabungkan, didekode, dan didekripsi untuk membentuk loader malware utama.

(Gambar: Sophos)

Jika AMSI berhasil diutak-atik, loader kemudian dipasang dan dapat berjalan tanpa gangguan apa pun, menerapkan malware Agent Tesla versi full yang memungkinkan penyerang untuk mengambil tangkapan layar, merekam masukan keyboard, mencuri data yang disimpan di papan klip, dan mengambil kredensial dari browser, klien email, aplikasi, dan lainnya.

Baca Juga: “Pengguna MacOS Sedang Ditargetkan Oleh Malware Yang Dimutakhirkan Ini

Pembaruan lain untuk malware, berlabel Tesla 2 dan 3, mencakup peningkatan jumlah aplikasi dalam daftar sasaran untuk pencurian kredensial dan penyamaran yang ditingkatkan, serta opsi bagi operator untuk menggunakan klien Tor dan API perpesanan Telegram saat menghubungkan ke server command-and-control (C2).

Aplikasi yang ditargetkan termasuk Opera, Chromium, Chrome, Firefox, OpenVPN, dan Outlook.

Perbedaan yang kami lihat antara Agent Tesla v2 dan v3 tampaknya berfokus pada peningkatan tingkat keberhasilan malware terhadap pertahanan serta pemindai malware, dan menyediakan lebih banyak opsi C2 kepada pelanggan penyerang mereka,” kata para peneliti.

Klien mereka juga dapat memilih untuk mempertahankan persistensi dengan menjalankan malware saat sistem melakukan boot dan dapat menghapus Agent Tesla dari jarak jauh jika mereka menginginkannya.

Sumber:

Muhammad Zaky Zulfiqor

Just a simple person who like photography, videography, code, and cyber security enthusiast.