Klassisk trojan i ny version återvänder

Cybersäkerhetsföretaget observerar 3 000 attacker per dag, på IPS-nivå. Antalet observerade sårbara enheter är cirka 1 300 per dag. Foto: towfiqu barbhuiya/unsplash

Cybersäkerhetsföretaget Fortinet släpptee nyligen en rapport angående en ny variant av ökända trojanen Agent Tesla. Denna välkända malware-familj använder en .Net-baserad Remote Access-trojan, RAT, och en så kallad data-stealer för att få åtkomst. Agent Tesla är populär att använda som så kallad malware-as-a-service, som innebär att det går att beställa trojanen i sin helhet och utföra attacker utan någon större tekniks kunskap.

Trojanen har en historia som sträcker sig flera år tillbaka i tiden. Vad som är nytt i denna variant är att den distribueras via skadliga Excel-dokument, där nätkriminella utnyttjar de kända sårbarheterna CVE-2017-11882/CVE-2018 i Excel för att kunna köra den skadliga programvaran.

Microsoft har tidigare släppt uppdateringar för att täppa till just dessa sårbarheter, men trots det utnyttjas de fortfarande. Det tyder på att det fortfarande finns enheter som kör på äldre och opatchade versioner.

– Eftersom Agent Tesla är populär att använda som så kallad malware-as-a-service är tröskeln låg för att utföra dessa attacker, säger Andreas Gotthardsson, director systems engineering på Fortinet i Sverige.

– Förutom att det är oerhört viktigt att hålla sina programvaror uppdaterade med de senaste patcherna behövs mer kunskap och förståelse för vilka risker man utsätter sig för om man exempelvis laddar ned bifogade filer i misstänkta mejl. Företag behöver ha rutiner för hur anställda ska flagga den här typen av aktivitet och stoppa den innan konsekvenserna blir för stora.