G DATA: Agent Tesla opnieuw gearriveerd

G_DATA_Campus_RGB_1-300x200

Recente security-incidenten hebben een nieuwe variant van Agent Tesla aan het licht gebracht. Hierbij wordt een ongebruikelijk compressieformaat gebruikt om informatie te stelen: ZPAQ. Maar wat is dit precies en welk voordeel biedt het aan cybercriminelen?

Wat is ZPAQ en wat verbergt het?

Eind vorig jaar meldde onderzoeker Xavier Mertens een phishing-poging op een van zijn honeypots. Opmerkelijk is dat een cybercrimineel het ZPAQ-archief en de .wav-bestandsextensie gebruikte om het systeem te infecteren met Agent Tesla.

ZPAQ is een bestand compressieformaat dat een betere compressieverhouding en logboekfunctie biedt in vergelijking met veelgebruikte formaten zoals ZIP en RAR. Dat betekent dat ZPAQ-archieven kleiner zijn, wat opslagruimte en bandbreedte bespaart bij het overzetten van bestanden. ZPAQ heeft echter een groot nadeel: het biedt beperkte softwareondersteuning. ZPAQ kan voornamelijk worden uitgepakt met specifieke tools die worden gebruikt door mensen met technische expertise.  

Het oorspronkelijke bestand werd gevonden in een e-mail met de naam “purchase Order pdf.zpaq”. Met deze bestandsnaam probeert de cybercrimineel mensen te overtuigen dat het archief een PDF-bestand met belangrijke informatie bevat. Na gebruik van het extractieprogramma blijkt dat het archief van 6 KB plotseling 1 GB “weegt”.

Cybercriminelen kunnen de voorkeur geven aan het gebruik van opgeblazen uitvoerbare bestanden. Deze bestande hebben een belangrijk voordeel: het is namelijk onmogelijk om ze te uploaden naar automatische scansystemen, Virus Total, sandboxes, enz. Met deze techniek kunnen ze traditionele beveiligingsmaatregelen omzeilen en de effectiviteit van de aanval vergroten.

De hoofdfunctie van Agent Tesla is het downloaden van een bestand met de extensie .wav en het decoderen (3DES-algoritme). Waveform Audio File Format (.wav) is een populaire standaard voor audiobestanden. In dit geval heeft het echter niets met audio te maken. De bestandsextensie wordt gebruikt om de aanwezigheid van schadelijk inhoud te verbergen. Vaak worden veel gebruikte bestandsextensies gebruikt om bestanden ‘normaal’ te laten lijken. Hierdoor is het moeilijker voor netwerkbeveiligingsoplossingen om schadelijke activiteiten te detecteren en voorkomen.

Nog een Agent Tesla
Agent Tesla is niet nieuw, het is een .net-gebaseerde datadief die rond 2014 opdook. Door de jaren heen heeft het meerdere updates gehad en tot omzeilingstechniek geëvolueerd. In dit specifieke geval was Agent Tesla versleuteld met de .NET Reactor en er waren verschillende ontsleutelingsronden nodig om de code te ontcijferen. De analyse onthulde dat het de volgende functies heeft:

  • Gevoelige data van ongeveer 40 verschillende webbrowsers targeten
  • Inlogdata stelen van populaire e-mailclients
  • Scherm loggen
  • Keylogging
  • Systeeminformatie verzamelen
  • Gevoelige data van VPN-tools vastleggencyerb

Belangrijkste bevindingen

Het gebruik van het ZPAQ-compressieformaat roept meer vragen op dan antwoorden. We gaan ervan uit dat cybercriminelen zich richten op een specifieke groep met technische kennis of dat ze andere technieken testen om malware sneller te verspreiden en securitysoftware te omzeilen.

Net als elke andere malware kan Agent Tesla niet alleen particulieren, maar ook organisaties schade toebrengen. Het heeft aan populariteit gewonnen onder cybercriminelen om vele redenen: gebruiksgemak, veelzijdigheid en betaalbaarheid op het Dark Web.

 

Auteursgegevens: Anna Lvova is Malware Analist bij G DATA CyberDefense

Lees ook
WatchGuard: Remote Access Software steeds vaker misbruikt

WatchGuard: Remote Access Software steeds vaker misbruikt

Hackers hebben hun pijlen steeds vaker gericht op Remote Access Software. Daarnaast zijn er nieuwe technieken in omloop voor het stelen van wachtwoorden en informatie. Ook maken cybercriminelen de overstap van het gebruik van scripts naar het toepassen van andere ‘living-off-the-land’-technieken om een aanval op eindpoints te starten. Dat concludeert...

De speciale exploitatiecyclus van TA422: week na week hetzelfde

De speciale exploitatiecyclus van TA422: week na week hetzelfde

Proofpoint onderzoekers zagen vanaf eind maart 2023 dat de Russische Advanced Persistent Threat (APT) TA422 gemakkelijk gepatchte kwetsbaarheden gebruikte om verschillende organisaties in Europe en Noord-Amerika aan te vallen. TA422 overlapt met de aliassen APT28, Forest Blizzard, Pawn Storm, Fancy Bear en Blue Delta. De Amerikaanse inlichtingsdiensten...

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoekers van Proofpoint ontdekten dat TA571 de Forked-variant van IcedID levert in twee campagnes. Dit vond plaats op 11 en 18 oktober 2023. Beide campagnes bevatten meer dan 6.000 berichten die allemaal een impact hadden op meer dan 1.200 klanten in verschillende sectoren verspreid over heel de wereld.