Como ele se dissemina?
O malware Agent Tesla se espalha principalmente por meio de e-mails de phishing . Por esse motivo, geralmente recebe destaque quando novas campanhas de “malspam” são lançadas.
Depois de obter acesso a um sistema, ele utiliza diversas técnicas para ocultar sua presença. Uma delas é o uso de múltiplas camadas de empacotamento e ofuscação para ocultar a detecção da funcionalidade maliciosa. Isso torna mais difícil para os sistemas de detecção baseados em assinaturas identificarem o malware porque a funcionalidade principal só é revelada bem após a infecção inicial.
Após a descompactação da funcionalidade principal, o Agente Tesla procura navegadores instalados no sistema e extrai deles as credenciais de login. Ele também pode capturar teclas digitadas e capturas de tela. Tudo isso contribui para conceder ao invasor acesso às contas dos usuários comprometidas por essas credenciais roubadas.
O malware Agent Tesla foi observado em campanhas de spear phishing contra vários setores diferentes, incluindo energia, logística, finanças e governo
Como se proteger contra o malware do Agent Tesla
Algumas maneiras de proteger e mitigar o impacto das infecções do Agent Tesla incluem:
- Proteção antiphishing : o malware Agent Tesla é comumente entregue de forma ofuscada, anexado a e-mails de phishing. Detectar e impedir que esse malware chegue às caixas de entrada dos funcionários requer soluções antiphishing capazes de analisar anexos e detectar funcionalidades maliciosas em um ambiente isolado e em área restrita.
- Desarme e reconstrução de conteúdo (CDR) : as soluções CDR dissecam arquivos, extirpam conteúdo malicioso e reconstroem o arquivo higienizado antes de permitir que ele continue na caixa de entrada do usuário. Isso fornece aos usuários acesso a arquivos potencialmente importantes, ao mesmo tempo que elimina o risco de infecções por malware.
- Detecção e resposta de endpoint : o malware Agent Tesla se descompacta através de vários estágios no endpoint, dificultando a identificação da funcionalidade maliciosa na forma original do malware. As soluções de segurança de endpoint instaladas em dispositivos infectados podem identificar e encerrar uma infecção por malware assim que ela se revelar.
- Autenticação multifator: o malware Agent Tesla foi projetado para roubar credenciais de login em máquinas infectadas para fornecer aos invasores acesso a contas online. Implantar e impor o uso de autenticação multifator (MFA) sempre que possível torna mais difícil para um invasor usar credenciais roubadas.
- Gerenciamento de acesso Zero Trust: Um ataque bem-sucedido do Agente Tesla pode conceder a um invasor acesso às contas corporativas de um usuário em vários sistemas. A implementação do gerenciamento de acesso com base nos princípios de confiança zero limita os danos incorridos por uma conta comprometida.
- Monitoramento do comportamento do usuário: o Agente Tesla foi projetado para permitir que invasores assumam o controle de contas corporativas legítimas. Monitorar o comportamento da conta em busca de comportamento anômalo pode permitir que uma organização identifique contas de usuários potencialmente comprometidas.
- Treinamento de segurança para funcionários: O malware Agent Tesla é espalhado por meio de campanhas de spear phishing, que são projetadas para induzir os usuários a abrir arquivos maliciosos. O treinamento de conscientização sobre segurança cibernética é essencial para ensinar os funcionários a reconhecer e responder adequadamente a esses e-mails para minimizar o risco que eles representam para a organização.