Pesquisadores da firma de segurança digital ReSecurity extrairam e removeram 950 GB de dados roubados pelo Agent Tesla, um dos malwares mais populares utilizados em ciberespionagem desde 2014. O trojan de acesso remoto (RAT) funcionava quase um canivete suíço do cibercrime, roubando informações que iam desde credenciais e conteúdo digitado até arquivos da área de colagem.

Operando com um esquema “malware-as-a-service” (malware como serviço, ou MaaS), o Agent Tesla fornecia acesso pago a funções do trojan para outros cibercriminosos, que direcionavam as ações ao Centro de Comando (C2). O programa malicioso era normalmente distribuído por correntes de email.

publicidade

Para roubar e apagar a base de dados de criminosos, o time da ReSecurity se juntou a instituições de inteligência internacionais no Oriente Médio, Estados Unidos e Europa. Os especialistas reverteram a engenharia do código e criaram um sistema de desofuscamento, que os levou a encontrar os dados.

Segundo a extração, a maior parte dos ataques estava voltado contra os peixes grandes do cibermercado: instituições financeiras, sistemas governamentais, emails de e-commerces e empresas.

Agent Tesla ainda é um dos malwares mais vigentes

Os especialistas estão analisando em conjunto os dados dos servidores do Agent Tesla para ligá-los às operações de células cibercriminosas e, assim, descobrir quais grupos usaram o malware. Até agora, uma análise preliminar encontrou vítimas em mais de 18 países, incluindo o Brasil.

Segundo o SecurityAffairs, tanto os agentes da ação de contra-espionagem quanto pesquisadores independentes do setor consideram o Agent Tesla um dos programas mais perigosos para o sistema Windows. Versões mais atuais do trojan atacam diretamente a interface AMSI, responsável por detecção de malwares.

Imagem: wk003mike/Shutterstock

Leia mais:

Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!