Das hier ist ein vollständig KI generierter Artikel.

Agent Tesla ist eine der hartnäckigsten Bedrohungen in der heutigen Cyberlandschaft. Diese Schadsoftware ermöglicht es selbst wenig erfahrenen Angreifern, sensible Daten durch eine hochentwickelte Lieferkette zu erbeuten. Der folgende Artikel untersucht eine kürzlich entdeckte mehrstufige Infektionskette, die Phishing, verschleierte und verschlüsselte Skripte sowie fortschrittliche In-Memory-Ausführungs- und Umgehungstechniken kombiniert.

Stufe 1: Der erste Köder – Ein klassisches Phishing-Manöver

Die Kampagne beginnt mit einer täuschenden, geschäftsbezogenen Phishing-E-Mail. Angreifer nutzen Betreffzeilen wie „Neue Bestellung PO0172“, um Dringlichkeit zu erzeugen. Die E-Mail enthält eine komprimierte RAR-Datei, die ein verschleiertes JSE-Skript als Downloader enthält, um grundlegende E-Mail-Filter zu umgehen.

Stufe 2: Skriptbasierte Umgehung und verschlüsselte Nutzlasten

Nach der Ausführung des JSE-Skripts wird eine Abfolge von skriptbasierten Umgehungstaktiken ausgelöst. Das Skript lädt ein sekundäres, verschlüsseltes PowerShell-Skript herunter, das in den Speicher des Systems entschlüsselt wird, um keine forensischen Spuren auf der Festplatte zu hinterlassen.

Stufe 3: In-Memory-Ausführung durch Process Hollowing

Nach der initialen Umgehung wechselt die Malware in ihre unauffälligste Phase: das Process Hollowing. Der legitime Prozess wird in einem angehaltenen Zustand gestartet, sein Speicher wird „ausgehöhlt“ und durch den bösartigen Agent Tesla-Code ersetzt.

Stufe 4: Anti-Analyse – Die finalen „Sanity Checks“

Nachdem der bösartige Code geladen ist, führt er eine Reihe von Überprüfungen durch, um sicherzustellen, dass die Umgebung für die Datenexfiltration sicher ist. Dazu gehören Virtualisierungsprüfungen und das Scannen nach Sicherheitssoftware.

Stufe 5: Datendiebstahl und Exfiltration

Sobald Agent Tesla fest etabliert ist, beginnt er mit seiner Hauptaufgabe: dem Sammeln sensibler Daten. Die Malware extrahiert systematisch Browser-Cookies und andere Daten, die dann an den Command-and-Control-Server des Angreifers gesendet werden.

Agent Tesla bleibt ein Eckpfeiler der modernen Cyberbedrohungslandschaft, nicht weil er revolutionär ist, sondern weil er außergewöhnlich anpassungsfähig ist. Die wahre Gefahr liegt in seiner Fähigkeit, unentdeckt zu bleiben und seine wahre Natur nur dann zu offenbaren, wenn er sicher ist, dass er nicht beobachtet wird.

Quelle: https://www.fortinet.com/blog/threat-research/unmasking-agent-tesla-deep-dive-into-multi-stage-campaign