Liberando o poder da IA na segurança cibernética
O agente Tesla é quase indetectável em suas máquinas © Quem é Danny/Shutterstock
A armadilha vem na forma de uma mensagem de notificação de pagamento bancário incentivando o usuário a abrir um anexo.
Uma revelação intrigante veio à tona, referente a uma nova variedade de software malicioso conhecido como Agente Tesla, que emprega uma carga útil de dupla finalidade na forma de um ladrão de informações e um registrador de teclas digitadas.
Uma descoberta recente dos estimados especialistas da Trustwave SpiderLabs trouxe à luz um e-mail de phishing nefasto detectado em 8 de março de 2024. Este e-mail específico se disfarça como uma notificação legítima de pagamento bancário e força o destinatário a baixar um arquivo prejudicial contendo malware altamente infeccioso. Notavelmente, este software insidioso é capaz de escapar às medidas de segurança contemporâneas, incluindo o Windows AMSI, representando assim uma ameaça significativa para utilizadores insuspeitos.
Agente Tesla evolui para se tornar praticamente indetectável
O golpe envolve o envio de e-mails enganosos que se fazem passar por uma instituição financeira genuína, com um documento anexado que parece um recibo verdadeiro de uma transação realizada por essa instituição. O título deste arquivo parece inócuo à primeira vista; no entanto, após uma inspeção mais detalhada, descobriríamos que ele esconde uma carga prejudicial disfarçada dentro dos limites de um arquivo.tar.gz compactado. Este estratagema tem sido empregado frequentemente em tentativas de enganar indivíduos inocentes para que, sem saber, acionem a execução de software nefasto, levando à condução de atividades ilícitas sem o seu conhecimento ou consentimento.
Observou-se que o software malicioso mencionado acima ativa o Agente Tesla no sistema afetado por meio de várias técnicas de evasão, incluindo contornar as defesas antivírus e utilizar endereços URL específicos para recuperação de carga útil. O design desta ameaça parece ser especificamente adaptado para contornar a Interface de Verificação Antimalware do Windows (AMSI), com o objetivo de permitir o acesso não autorizado a informações confidenciais através de transmissão SMTP, permanecendo sem ser detectado. Esses desenvolvimentos recentes representam um avanço significativo nas capacidades do Agente Tesla como ferramenta para extração furtiva de dados.
A utilização de técnicas como injeção de código, conhecida como “patching”, permite que o carregador do Agente Tesla contorne a detecção da Antimalware Scan Interface (AMSI) e execute perfeitamente sua carga útil, mantendo a dissimulação operacional e minimizando as pegadas digitais. Esta abordagem inovadora representa um avanço significativo nas estratégias de implantação empregadas por este ator de ameaça específico, de acordo com insights compartilhados pelo especialista em segurança cibernética Bernard Bautista.
Os kits de phishing estão se tornando cada vez mais difundidos © wk1003mike/Shutterstock
A popularidade alarmante dos kits de phishing
Esta descoberta segue a dos investigadores da BlueVoyant, que identificaram novas atividades de phishing realizadas pelo grupo de crimes cibernéticos TA544. Este grupo usa PDFs disfarçados de faturas para espalhar o malware WikiLoader e conectar-se a servidores de controle que visam principalmente sites WordPress hackeados, como aqueles infectados com. O TA544 também explorou uma vulnerabilidade de segurança do Windows (CVE-2023-36025) para distribuir o Remcos RAT, assumindo assim o controle dos sistemas infectados.
Além disso, o uso do Tycoon cresceu, com mais de 1.100 nomes de domínio detectados entre o final de outubro de 2023 e o final de fevereiro de 2024. O Tycoon permite que os cibercriminosos atinjam usuários do Microsoft 365 com páginas de login falsas para capturar suas credenciais e códigos 2FA. Ele incorpora métodos de filtragem de tráfego para impedir bots e tentativas de análise.
Parece que existem semelhanças impressionantes entre o Tycoon e o kit de phishing Dadsec Over-The-Top (OTT), o que implica que os criadores do Tycoon podem ter revisto o primeiro para melhorar as suas capacidades de camuflagem. Isto poderia diminuir a probabilidade de detecção por medidas de segurança cibernética, tornando-o uma opção mais atraente para indivíduos mal-intencionados devido à sua natureza fácil de utilizar e à sua estrutura de preços acessível.
Para descobrir 1º de março de 2024 às 09h08 Comparações de serviços
Fontes: The Hacker News, BlueVoyant, Trustwave SpiderLabs
*️⃣ Link da fonte: