นักวิจัยด้านความปลอดภัยไซเบอร์จาก Sophos ได้เปิดเผยเกี่ยวกับเทคนิคของ malware รูปแบบใหม่ที่ถูกประยุกต์ใช้โดย Agent Tesla remote access trojan (RAT) เพื่อหลีกเลี่ยงระบบป้องกันและตรวจสอบโดยได้สังเกตเห็น Agent Tesla ทั้งสองเวอร์ชันคือ เวอร์ชัน 2 และ 3 ที่ถูกออกแบบเพื่อทำให้ Sandbox และการวิเคราะห์แบบ static ตรวจจับได้ยากและยังมี malware ที่สามารถหลุดลอดไปได้

วิธีการแพร่กระจายของ Malware นี้มักทำโดยผ่านบัญชีอีเมลที่ถูก compromise ทำให้ดูเหมือนบัญชีที่ถูกต้องและไม่เป็นอันตราย จากนั้นเมื่อเข้ามายังอุปกรณ์ได้จะทำการใช้ ToR proxy สำหรับการสื่อสารแบบ HTTP และใช้ Telegram’s API เพื่อส่งข้อมูลไปยัง private chat room นอกจากนี้ยังมีการแก้ไขโค้ด AMSI หรือ Microsoft’s Antimalware Scan Interface เพื่อข้ามการ scan payload ที่เข้ารหัส base64-encoded code ที่ถูกดาวน์โหลดมาจาก Pastebin หรือ Hastbin ซึ่งทำหน้าที่เป็น loader สำหรับ Agent Tesla ซึ่ง  malware จะคัดลอกตัวเองไปยังโฟลเดอร์และตั้งค่า attribute เป็น Hidden และ System เพื่อซ่อนตัวจาก Windows Explorer

ดังนั้น ก่อนเปิดไฟล์แนบในอีเมลจากผู้ส่งที่ไม่รู้จักควรตรวจสอบไฟล์แนบด้วยความระมัดระวังก่อนเปิดทุกครั้ง โดยสามารถอ่านวิธีการตรวจสอบอีเมลได้ที่บทความ 10 วิธีสังเกต Phishing Email เมลไหนหลอก ดูยังไง

ที่มา: https://thehackernews.com/2021/02/agent-tesla-malware-spotted-using-new.html