Aanvallers maken gebruik van een oude Microsoft Office-kwetsbaarheid als onderdeel van phishing-campagnes om een soort malware te verspreiden die Agent Tesla wordt genoemd.
De infectieketens maken gebruik van valse Excel-documenten die zijn bijgevoegd in berichten met factuurthema om potentiële doelwitten te misleiden om deze te openen en de exploitatie van CVE-2017-11882 (CVSS-score: 7,8) te activeren, een kwetsbaarheid voor geheugencorruptie in de Vergelijkingseditor van Office die zou kunnen resulteren in code uitvoering met de rechten van de gebruiker.
De bevindingen, afkomstig van Zscaler ThreatLabz, bouwen voort op eerdere rapporten van Fortinet FortiGuard Labs, waarin een soortgelijke phishing-campagne werd beschreven waarin gebruik werd gemaakt van het beveiligingslek om de malware af te leveren.
“Zodra een gebruiker een kwaadaardige bijlage downloadt en deze opent en zijn versie van Microsoft Excel kwetsbaar is, initieert het Excel-bestand de communicatie met een kwaadaardige bestemming en gaat het verder met het downloaden van extra bestanden zonder dat verdere gebruikersinteractie nodig is”, aldus beveiligingsonderzoeker Kaivalya Khursale.
De eerste payload is een versluierd Visual Basic-script, dat het downloaden initieert van een kwaadaardig JPG-bestand dat wordt geleverd met een Base64-gecodeerd DLL-bestand. Deze steganografische ontwijkingstactiek werd eerder in september 2023 ook uitgewerkt door McAfee Labs.
De verborgen DLL wordt vervolgens geïnjecteerd in RegAsm.exe, de Windows Assembly Registration Tool, om de uiteindelijke payload te starten. Het is vermeldenswaard dat het uitvoerbare bestand in het verleden ook is misbruikt om Quasar RAT te laden.
Agent Tesla is een op .NET gebaseerde geavanceerde keylogger en trojan voor externe toegang (RAT) die is uitgerust om gevoelige informatie van besmette hosts te verzamelen. De malware communiceert vervolgens met een externe server om de verzamelde gegevens te extraheren.
“Bedreigingsactoren passen infectiemethoden voortdurend aan, waardoor het voor organisaties absoluut noodzakelijk is om op de hoogte te blijven van evoluerende cyberdreigingen om hun digitale landschap te beschermen”, aldus Khursale.
Deze ontwikkeling komt op het moment dat oude beveiligingsfouten nieuwe aanvalsdoelen worden voor bedreigingsactoren. Eerder deze week onthulde Imperva dat een drie jaar oude fout in Oracle WebLogic Server (CVE-2020-14883, CVSS-score: 7,2) door de 8220 Gang wordt gebruikt om cryptocurrency-mijnwerkers te leveren.
Het valt ook samen met een toename van de DarkGate-malwareactiviteit nadat er eerder dit jaar reclame voor werd gemaakt als een Malware-as-a-Service (MaaS)-aanbod en als vervanging voor QakBot na de verwijdering ervan in augustus 2023.
“De technologiesector wordt het meest getroffen door DarkGate-aanvalscampagnes”, zei Zscaler, daarbij verwijzend naar telemetriegegevens van klanten.
“De meeste DarkGate-domeinen zijn 50 tot 60 dagen oud, wat kan wijzen op een doelbewuste aanpak waarbij bedreigingsactoren met specifieke tussenpozen domeinen creëren en roteren.”
Er zijn ook phishing-campagnes ontdekt die zich richten op de horecasector met boekingsgerelateerde e-mailberichten om informatiestelende malware zoals RedLine Stealer of Vidar Stealer te verspreiden, aldus Sophos.
“Ze nemen in eerste instantie contact op met het doelwit via e-mail die niets anders bevat dan tekst, maar met onderwerpen waar een servicegericht bedrijf (zoals een hotel) snel op zou willen reageren”, aldus onderzoekers Andrew Brandt en Sean Gallagher.
“Pas nadat het doelwit heeft gereageerd op de eerste e-mail van de bedreigingsacteur, stuurt de bedreigingsacteur een vervolgbericht met een link naar wat volgens hem details zijn over zijn verzoek of klacht.”
Ondanks stealers en Trojaanse paarden hebben phishing-aanvallen de vorm aangenomen van valse Instagram-e-mails met ‘auteursrechtinbreuk’ om de tweefactorauthenticatie (2FA)-back-upcodes van gebruikers te stelen via frauduleuze webpagina’s met als doel accountbeveiligingen te omzeilen, een plan genaamd Insta-Phish -A-Gram.
“De gegevens die aanvallers uit dit soort phishing-aanvallen halen, kunnen ondergronds worden verkocht of worden gebruikt om het account over te nemen”, aldus het cyberbeveiligingsbedrijf.
