Internet Sehat : Kampanye phishing menghadirkan varian baru dari salah satu bentuk malware trojan (RAT) akses jarak jauh tertua dalam upaya mencuri nama pengguna, password, dan informasi sensitif lainnya. Phishing ini juga bertujuan untuk mencuri cryptocurrency dari korban.
Malware Agent Tesla pertama kali muncul pada tahun 2014 dan tetap menjadi bentuk malware yang umum hingga saat ini. Malware ini difokuskan untuk mencuri informasi sensitif dari komputer Windows yang disusupi dengan bantuan keylogger yang mengirimkan apa yang diketik korban ke penyerang sehingga memungkinkan mereka melihat nama pengguna, kata sandi, dan banyak lagi lainnya.
Peneliti di Fortinet telah merinci kampanye Agent Tesla baru yang mendistribusikan versi terbaru dari malware melalui email phishing. Pesan berbahaya dirancang agar terlihat seperti email bisnis, misalnya, seseorang meminta pengguna untuk membuka lampiran Microsoft Excel berjudul Order Requirements and Specs. Dokumen berisi makro yang jika dijalankan akan memulai proses yang mengeksekusi dan mengunduh Agent Tesla ke komputer.
Eksekusi dilakukan di sejumlah tahapan berbeda, termasuk mengunduh file PowerShell, menjalankan VBScript, dan membuat tugas jadwal, semuanya untuk membantu menutupi pemasangan malware yang memungkinkan penyerang memantau aktivitas di mesin secara diam-diam. Versi Agent Tesla ini melakukan ping ke operator setiap 20 menit, mengirimi mereka input baru yang terdeteksi.
Selain itu, serangan tersebut juga membajak semua dompet bitcoin di perangkat korban. Dengan memantau aktivitas pada mesin dan penyalahgunaan kode PowerShell, penyerang dapat memantau alamat bitcoin yang valid. Jika ini terlihat, kode memodifikasi alamat bitcoin dan mengubahnya menjadi milik penyerang, memungkinkan mereka mencuri transfer mata uang kripto.
Meskipun sudah ada sejak 2014, Agent Tesla tetap populer di kalangan penjahat cyber dengan tetap efektif dan relatif murah, biayanya hanya 15 dollar AS untuk membeli lisensi di forum bawah tanah.
Selain biaya rendah, pembuat Agen Tesla menawarkan dukungan teknis 24/7, yang memungkinkannya berfungsi sebagai titik masuk bagi penjahat dunia maya yang kurang canggih sambil tetap berpotensi merusak orang atau organisasi mana pun yang menjadi korban malware.
Sumber : ZDNet
