A variante de um antigo malware tem sido espalhada em uma nova campanha de phishing. Além de roubar senhas e informações confidenciais de usuários do Windows, o Agent Tesla realiza sequestro de carteiras de criptomoedas.
Criado em 2014, o malware usa um keylogger para registrar todas as informações que são digitadas pelas vítimas. Com isso, o invasor consegue acompanhar as atividades do computador e obter senhas e outros dados.
O malware pode se "disfarçar" como um script PowerShell.Fonte: Office 365 Reports/Reprodução
Segundo pesquisadores, a nova campanha do Agent Tesla distribui uma versão atualizada do malware por e-mails phishing. As mensagens maliciosas, parecidas com e-mails comerciais, possuem um arquivo Excel chamado "Order Requirements & Specs".
Esse documento possui um macro que, se aberto, inicia a instalação do código no PC. Surpreendentemente, ele pode estar "disfarçado" como script PowerShell, VBScript ou até mesmo uma atualização do próprio Windows.
Dessa maneira, o invasor consegue monitorar secretamente as atividades da vítima no computador. Por fim, o Agent Tesla envia informações para os invasores a cada 20 minutos após detectar a entrada de novos dados.
Agent Tesla é usado para sequestro de carteira de criptomoedas.Fonte: Medium/Reprodução
Roubo de carteira de criptomoeda
A versão atualizada do Agent Tesla também é usada para sequestro de carteiras de bitcoin. Após visualizar o endereço válido da criptomoeda, o invasor pode modificar o código para que as transferências sejam redirecionadas para ele.
Para evitar ser vítima de uma tentativa de phishing, especialistas recomendam o uso de um antivírus para detectar atividades suspeitas. Além disso, os usuários devem ter cuidado ao abrir anexos de fontes desconhecidas de e-mail.
Fontes
