Pesquisadores de segurança vazam Gigabytes de dados do “Agente Tesla C2Cs”, uma das ferramentas de ciberespionagem mais conhecidas que sofre vazamento de dados.

O agente Tesla , descoberto pela primeira vez no final de 2014, é uma ferramenta de Trojan de acesso remoto (RAT) de “malware como serviço” extremamente popular usada por agentes de ameaças para roubar informações como credenciais, pressionamentos de tecla, dados da área de transferência e outras informações de seus operadores ‘alvos.

Tanto os grupos cibercriminosos quanto os atores envolvidos em operações de espionagem usam este RAT devido à estabilidade, flexibilidade e funcionalidade do Agente Tesla que permite a coleta de dados confidenciais e exfiltração da vítima. 

A Resecurity, Inc., com sede em Los Angeles, e sua unidade de P&D e inteligência de ameaças cibernéticas, HUNTER, drenaram os Servidores de Comando e Controle do Agente Tesla (C2) e extraíram mais de 950 GB de registros contendo credenciais de usuários de Internet comprometidas, arquivos e outras informações confidenciais roubadas por usuários mal-intencionados código. A extração de dados foi possível através de uma colaboração com Resecurity, policiais e vários ISPs na União Europeia, Oriente Médio e América do Norte.

As informações coletadas permitiram a recuperação do conhecimento sobre as vítimas e o cronograma das campanhas realizadas pelos atores alavancando o Agente Tesla. 
A distribuição das vítimas por área geográfica incluiu: EUA, Canadá, Itália, Alemanha, Espanha, México, Colômbia, Chile, Brasil, Cingapura, Coreia do Sul, Malásia, Taiwan, Japão, Egito, Emirados Árabes Unidos (EAU), Kuwait, Reino Unido da Arábia Saudita (KSA) e outros países da região do Golfo.

A maioria das credenciais interceptadas pelo Agente Tesla está relacionada a serviços financeiros, varejistas online, sistemas de governo eletrônico e contas de e-mail pessoais e comerciais. 

Os pesquisadores encontraram instâncias ativas do agente Tesla e desenvolveram um mecanismo para enumerar os clientes afetados e extrair os dados comprometidos. Para compartilhar conhecimento e incentivar os pesquisadores de segurança da informação a combater o código malicioso, a unidade HUNTER do Resecurity preparou um vídeo educacional demonstrando as técnicas de engenharia reversa e desofuscação do .NET usadas para a análise do Agente Tesla. https://player.vimeo.com/video/624097327?h=974eac0109&dnt=1&app_id=122963

“O rastreamento bem-sucedido da atividade do Agente Tesla permitiu a recuperação de percepções críticas sobre as vítimas afetadas por ele globalmente e os prováveis ​​agentes de ameaça que as visam. Em alguns casos, vimos padrões óbvios de cibercriminosos. No entanto, também vimos outros atores intimamente afiliados a determinados estados estrangeiros, alavancando essa ferramenta de ciberespionagem devido à sua disponibilidade em comunidades de hackers clandestinos ”, disse Ahmed Elmalky, pesquisador de segurança cibernética ofensiva da Resecurity, Inc. 

De acordo com vários pesquisadores de segurança cibernética independentes e empresas envolvidas no rastreamento do Agente Tesla, este RAT continua sendo uma ameaça consistente para o ambiente Microsoft Windows e é entregue principalmente por e-mail como um anexo malicioso.

Na atualização recente, o Agente Tesla tem como alvo a interface de software antimalware da Microsoft (ASMI) para evitar a detecção, ao lado de usar mecanismos sofisticados de evasão para transferir dados roubados.   

No ano passado, o Agente Tesla foi visto em campanhas altamente direcionadas contra a indústria de petróleo e gás. Em uma dessas campanhas, os atores estavam se passando por um conhecido empreiteiro de engenharia egípcio envolvido em projetos onshore e offshore (Enppi – Engenharia para Indústrias de Petróleo e Processos) para atingir a indústria de energia na Malásia, Estados Unidos, Irã, África do Sul, Omã e Turquia.

A segunda campanha, fingindo ser a transportadora, usou informações legítimas sobre um navio de produtos químicos / petróleo, para tornar o e-mail crível quando visava vítimas das Filipinas.

Sobre o autor: Unidade de P&D e inteligência de ameaças cibernéticas da Resecurity

Fonte: https://securityaffairs.co/