Uma nova campanha de phishing foi observada utilizando um malware inovador para entregar um ladrão de informações e keylogger chamado Agent Tesla. A mensagem se disfarça como uma notificação de pagamento bancário, instigando o usuário a abrir um arquivo de arquivo anexado.

A tática de embutir malware dentro de arquivos aparentemente benignos é uma tática que tem sido repetidamente empregada por atores de ameaças para enganar vítimas desavisadas a acionar a sequência de infecção.

O carregador usado no ataque é escrito em .NET, com a Trustwave descobrindo duas variantes distintas que cada uma faz uso de uma rotina de descriptografia diferente para acessar sua configuração e, finalmente, recuperar a carga útil do Agent Tesla codificada por XOR de um servidor remoto.

Em um esforço para evitar detecção, o carregador também é projetado para contornar a Interface de Verificação de Antimalware do Windows (AMSI), que oferece a capacidade de software de segurança para escanear arquivos, memória e outros dados para ameaças.

A última fase envolve decodificar e executar o Agent Tesla na memória, permitindo que os atores de ameaças exfiltrem dados sensíveis via SMTP usando uma conta de e-mail comprometida associada a um fornecedor legítimo de sistema de segurança na Turquia.