Een nieuwe variant van de Agent Tesla Er is malware waargenomen die wordt afgeleverd via een lokbestand met het ZPAQ-compressieformaat om gegevens van verschillende e-mailclients en bijna 40 webbrowsers te verzamelen.
“ZPAQ is een bestandscompressieformaat dat een betere compressieverhouding en journalingfunctie biedt in vergelijking met veelgebruikte formaten zoals ZIP en RAR”, zei G Data-malwareanalist Anna Lvova in een analyse van maandag.
“Dat betekent dat ZPAQ-archieven kleiner kunnen zijn, waardoor opslagruimte en bandbreedte worden bespaard bij het overbrengen van bestanden. ZPAQ heeft echter het grootste nadeel: beperkte software-ondersteuning.”
Agent Tesla verscheen voor het eerst in 2014 en is een keylogger en trojan voor externe toegang (RAT), geschreven in .NET, die aan andere bedreigingsactoren wordt aangeboden als onderdeel van een Malware-as-a-Service (MaaS)-model.
Het wordt vaak gebruikt als payload in de eerste fase, waarbij externe toegang wordt geboden tot een gecompromitteerd systeem en wordt gebruikt om meer geavanceerde tools in de tweede fase, zoals ransomware, te downloaden.
Agent Tesla wordt doorgaans afgeleverd via phishing-e-mails, waarbij recente campagnes gebruik maken van een zes jaar oude kwetsbaarheid voor geheugenbeschadiging in de Vergelijkingseditor van Microsoft Office (CVE-2017-11882).
De nieuwste aanvalsketen begint met een e-mail met een ZPAQ-bestandsbijlage die zich voordoet als een PDF-document, en opent met een opgeblazen .NET-uitvoerbaar bestand dat grotendeels is opgevuld met nul bytes om de steekproefgrootte kunstmatig op te blazen tot 1 GB in een poging om traditionele veiligheids maatregelen.
“De belangrijkste functie van het niet-gearchiveerde .NET-programma is het downloaden van een bestand met de .wav-extensie en het decoderen ervan”, legt Lvova uit. “Het gebruik van veelgebruikte bestandsextensies camoufleert het verkeer als normaal, waardoor het moeilijker wordt voor netwerkbeveiligingsoplossingen om kwaadaardige activiteiten te detecteren en te voorkomen.”
Het einddoel van de aanval is om het eindpunt te infecteren met Agent Tesla, dat wordt versluierd door .NET Reactor, een legitieme codebeschermingssoftware. Command-and-control (C2)-communicatie vindt plaats via Telegram.
De ontwikkeling is een teken dat bedreigingsactoren experimenteren met ongebruikelijke bestandsformaten voor de levering van malware, waardoor gebruikers op hun hoede moeten zijn voor verdachte e-mails en hun systemen up-to-date moeten houden.
“Het gebruik van het ZPAQ-compressieformaat roept meer vragen op dan antwoorden”, zegt Lvova. “De aannames hier zijn dat bedreigingsactoren zich richten op een specifieke groep mensen die technische kennis hebben of minder bekende archieftools gebruiken, of dat ze andere technieken testen om malware sneller te verspreiden en beveiligingssoftware te omzeilen.”
