Agent Tesla: nach wie vor einer der gefährlichsten Trojaner überhaupt

Agent Tesla Trojaner
Agent Tesla ist ein gefährlicher Trojaner.

Wie Forscher festgestellt haben, hat sich der Agent Tesla RAT (Remote Access Trojaner) in der ersten Hälfte des Jahres 2020 zu einer der am weitesten verbreiteten und bedrohlichsten Malware-Familien entwickelt.  Auch OpenVPN kann Opfer des Trojaners werden! Agent Tesla war in mehr Cyber-Attacken verwickelt als bspw. Trickbot oder Emotet, noch aggressiver war nur Dridex. Obwohl es den Trojaner bereits seit zumindest sechs Jahren gibt, entwickelt er sich immer weiter bzw. passt sich an und zerstört damit die Sicherheitsvorkehrungen vieler Unternehmen. Während der COVID-19-Pandemie kamen wieder neue Varianten mit zusätzlichen Features zutage, die groß angelegt für spezielle Coronavirus-Phishingkampagnen genutzt wurden.

Was ist & kann Agent Tesla?

In seinem Kern ist Agent Tesla ein ausgeklügelter Keylogger und Infostealer, der die Tastatureingaben überwacht sowie aufzeichnet, Daten mitliest, Screenshots erstellt und App-Zugangsdaten abfängt. Agent Tesla wurde erstmals 2014 entdeckt, in den letzte beiden Jahren wurde der Trojaner vermehrt eingesetzt. Die Malware wurde zu Beginn in verschiedenen Untergrundforen und -marktplätzen sowie der eigenen, mittlerweile deaktivierten AgentTesla.com Seite verkauft. Agent Tesla hat, wie viele seiner „Konkurrenten“ sowohl die Malware an sich angeboten als auch ein Managementpanel zur Verwaltung und Datensammlung. Auf diesem Panel hat der Cyberkriminelle schnell Zugriff auf die abgegriffenen/gestohlenen Informationen und Daten.

Günstiger Trojaner mit vollem Funktionsumfang

Als Agent Tesla seinerzeit gelauncht wurde, gab es verschiedene „Packages“ zu kaufen. Jedes dieser Packages unterschied sich durch die Lizenzdauer und den Built-/Update-Zugriff. Für damalige Verhältnisse war der Trojaner recht günstig zu haben – 1 Monatslizenz kostete 12 USD, 6 Monatslizenzen 35 USD. Aber natürlich gab es recht schnell auch gecknackte und geleakte Agent Tesla Versionen.

Frühe Versionen von Agent Tesla warben bereits mit dem vollen Funktionsumfang eines modernen Trojaners wie bspw.:

  • verschiedene Sprachen
  • PHP-Web-Panel
  • automatische Aktivierung bei Zahlung (für Direktkunden)
  • 24/7-Support
  • stabile und schnelle Ausführung
  • verschiedene Arten der Bereitstellung von Tastatureingabeprotokolle, Screenshots und Clipboard-Pulls
  • Unterstützung für mehrere Windows-Versionen (XP aufwärts)

Zustellmechanismus

Wie bei vielen anderen Bedrohungen ist auch bei Agent Tesla die primäre Zustellungsmethode E-Mail (Phishing-Nachrichten). Die Angreifer kommen mit ihren Social Engineering-Ködern oft gerade zur rechten Zeit und die momentane Pandemie ist für die Cyberkriminellen keineswegs tabu. Im Gegenteil: In den letzten Monaten wurde verstärkt beobachtet, dass Angreifer Agent Tesla über Nachrichten mit COVID-Themen verbreitet haben – oft getarnt als Informationen oder Update der WHO.

Bösartige Office-Dokumente nutzten Schwachstellen aus

Die Akteure hinter Agent Tesal-Kampagnen verwenden oft auch bösartige Office-Dokumente, um die erste Phase der Auslieferung zu erleichtern. Speziall angefertigte Dokumente, die Office-Schwachstellen wie CVE-2017-11882 und CVE-2017-8570 ausnutzen, werden auch in heutigen Kampagnen genutzt. Diese und ähnliche Schwachstellen ermöglichen eine schnelle Zustellung und Ausführung mit minimaler Nutzerinteraktion (über das Öffnen der bösartigen Dokumente und die Weiterleitung aktiver Inhalte hinaus).

Features der neuen Agent Tesla Varianten

Im Laufe der Zeit wurde Agent Tesla um zusätzliche Funktionen erweitert. Diese Verbesserungen umfassen robustere Verbreitungs- und Injektionsmethoden sowie die Entdeckung und den Diebstahl von WLAN-Informationen und -Zugangsdaten. Derzeit wird Agent Tesla weiterhin in verschiedene Angriffsstufen eingesetzt. Die Möglichkeiten des Trojaners, die Geräte der Opfer zu verwalten und manipulieren, ist für Kriminelle nach wie vor sehr attraktiv. Tesla ist jetzt in der Lage, Konfigurationsdaten und Berechtigungsnachweise von einer Reihe gängiger VPN-Clients, FTP- und E-Mail-Clients und Web-Browsern zu sammeln. Sie kann Anmeldedaten aus der Registry sowie zugehörige Konfigurations- oder Supportdateien zu extrahieren.

Folgende Software kann unter anderem zum Ziel von Agent Tesla Angriffen werden – leider eine sehr umfassende Liste:

  • 360 Browser
  • Apple Safari
  • Becky! Internet Mail
  • BlackHawk
  • Brave
  • CentBrowser
  • CFTP
  • Chedot
  • Chromium
  • Citrio
  • Claws Mail
  • Coccoc
  • Comodo Dragon
  • CoolNovo
  • CoreFTP
  • CyberFox
  • Elements
  • Epic Privacy
  • FileZilla
  • FlashFXP
  • Flock
  • Google Chrome
  • IceCat
  • IceDragon
  • IncrediMail
  • Iridium
  • KMeleon
  • Kometa
  • Liebao
  • Microsoft IE & Edge
  • Microsoft Outlook
  • Mozilla Firefox
  • Mozilla Thunderbird
  • OpenVPN
  • Opera
  • Opera Mail
  • Orbitum
  • PaleMoon
  • Postbox
  • QIP Surf
  • Qualcomm Eudora
  • SeaMonkey
  • Sleipnir 6
  • SmartFTP
  • Sputnik
  • Tencent
  • QQBrowser
  • The Bat! Email
  • Torch
  • Trillian Messenger
  • UCBrowser
  • Uran
  • Vivaldi
  • WaterFox
  • WinSCP
  • Yandex

Die abgegriffenen Daten werden via SMTP oder FTP an die C2 übermittelt. Die Übertragungsmethode richtet sich nach der internen Konfiguration der Malware, zu der auch die Zugangsdaten (FTP oder SMTP) für den C2 des Angreifers gehören.

Bei den aktuellen Varianten werden häufig sekundär ausführbare Dateien abgelegt oder abgerufen, um sie zu injizieren, oder es wird versucht, sie in bekannte (und anfällige) Binärdateien zu injizieren, die bereits auf den Ziel-Hosts vorhanden sind.

Ausführung

Nachdem die Malware im System ist, beginnt sie, lokale Systeminformationen zu sammeln, das Keylogger-Modul zu installieren und Routinen für das Entdecken und Sammeln von Daten zu initialisieren.

Fazit

Agent Tesla treibt nun schon seit mehreren Jahren sein Unwesen und wird immer noch oft in wenig ausgefeilten Attacken genutzt. Die Angreifer entwickeln den Trojaner stetig weiter und finden neue Wege, Werkzeuge wie Agent Tesla erfolgreich einzusetzen und ihre Entdeckung zu vermeiden. Am Ende des Tages werden Agent Tesla genauso wie Pony, Loki etc. gerne genutzt, wenn Datendiebstahl das Ziel der Angreifer ist. Wenn diese Attacken mit aktuellen Social Engineering Lockmitteln (wie Covid-19) kombiniert werden sind sie nach wie vor recht erfolgsversprechend.

Was du gegen solche Attacken tun kannst

Um derartigen Angriffen zu entgehen heißt es vor allem wachsam zu sein – klicke niemals auf Links oder Anhänge in Mails von dir nicht bekannten Absendern. Und selbst wenn sich dieser z. B. als deine Bank ausgibt, besser vorher telefonisch abklären, ob dies wirklich zutrifft! Auch ein Virusprogramm kann natürlich hilfreich sein, um derartige Malware frühzeitig zu entdecken und zu eliminieren.


Erstellt am:20. August 2020


Sicherheit im Internet Hilfe

Sicherheit mit VPN - Hilfe zur Auswahl!

Schreibe einen Kommentar