Cybersecurity-Forscher haben eine Zunahme der Ausnutzung einer alten Microsoft Excel-Sicherheitsanfälligkeit, CVE-2017-11882, zur Verbreitung einer Malware namens Agent Tesla beobachtet. Diese Sicherheitslücke, eine Speicherbeschädigung im Gleichungseditor von Microsoft Office, kann zu einer Codeausführung mit den Privilegien des Nutzers führen, ohne dass weitere Interaktionen erforderlich sind.
Angreifer nutzen Phishing-Kampagnen, um Köder-Excel-Dokumente in rechnungsthemenbasierten Nachrichten zu verbreiten, die potenzielle Opfer dazu verleiten sollen, sie zu öffnen. Sobald eine anfällige Version von Microsoft Excel diese Dokumente öffnet, initiiert die Datei eine Kommunikation mit einem bösartigen Ziel und lädt weitere Dateien herunter, um den Infektionsprozess voranzutreiben.
Die erste Stufe des Angriffs ist ein verschleiertes Visual Basic-Skript, das zu einem bösartigen JPG führt, welches eine Base64-kodierte DLL-Datei enthält. Diese Steganografie-Taktik verbirgt die DLL, die dann in RegAsm.exe, das Windows Assembly Registration Tool, injiziert wird, um die finale Schadsoftware zu starten.
Agent Tesla, als fortschrittlicher Keylogger und Remote Access Trojaner (RAT) beschrieben, ist darauf ausgerichtet, sensible Informationen von kompromittierten Hosts zu sammeln. Es kommuniziert mit einem Remote-Server, um die gesammelten Daten abzurufen. Die Fähigkeit der Malware, Infektionsmethoden anzupassen, stellt eine erhebliche Bedrohung dar und erfordert von Organisationen, wachsam zu bleiben und sich über sich entwickelnde Cyber-Bedrohungen auf dem Laufenden zu halten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: