Neue Variante: ZPAQ-Archiv für Verbreitung von Agent Tesla missbraucht
Eine neue Variante von Agent Tesla nutzt das ungewöhnliche Komprimierungsformat ZPAQ, um Informationen aus etwa 40 Webbrowsern und verschiedenen E-Mail-Clients auszuleiten. Aber was genau ist dieses Dateikomprimierungsformat? Und welchen Vorteil bietet es den Angreifergruppen? Antworten liefert dieser Beitrag.
Anfang November meldete ein Sicherheitsforscher einen Phishing-Versuch auf einem seiner Honeypots. Das Bemerkenswert daran: Der Bedrohungsakteur setzte das ZPAQ-Archiv und das .wav-Format, um das System mit Agent Tesla, einem Remote Access Trojaner zu infizieren. ZPAQ ist ein Dateikomprimierungsformat, das im Vergleich zu weitverbreiteten Formaten wie ZIP und RAR eine bessere Kompressionsrate und Journaling-Funktion bietet. ZPAQ-Archive können daher kleiner sein, was beim Transfer von Dateien Speicherplatz und Bandbreite spart. Der grösste Nachteil von ZPAQ ist jedoch die begrenzte Softwareunterstützung. Allerdings wird es hauptsächlich über Befehlszeilentools entpackt, was die Handhabung für nicht-technische Benutzer erschwert.
Die ursprüngliche Datei wurde in einer E-Mail namens "Purchase Order pdf.zpaq" gefunden, die vorgibt, eine wichtige PDF-Datei zu enthalten. Das ursprünglich 6 KB grosse Archiv entpuppte sich nach dem Entpacken als 1 GB gross. Die analysierte ausführbare .NET-Datei enthielt hauptsächlich Null-Bytes, was eine gängige Taktik ist, um automatische Scansysteme zu umgehen. Nach einer eingehenden Untersuchung der ausführbaren Datei stellte sich heraus, dass es sich um eine ausführbare .NET-Datei handelte, die mit null Bytes aufgebläht war. Einer der Indikatoren dafür war die fehlende Entropie im Overlay-Bereich.
Bedrohungsakteure bevorzugen den Einsatz dieser aufgeblähten ausführbaren Dateien, da sie den Vorteil haben, dass solche Dokumente nicht in automatische Scansysteme, Virus Total oder Sandboxes hochgeladen werden können. Mit dieser Technik können sie viele Sicherheitsmassnahmen umgehen und die Wirksamkeit ihres Angriffs erhöhen.
Gestohlene Daten?
Die Hauptfunktion der ausführbaren .NET-Datei besteht darin, eine Datei mit der Erweiterung .wav herunterzuladen und diese zu entschlüsseln. Das Waveform-Audio-File-Format (abgekürzt .wav) ist ein beliebter Standard für Audiodateiformate. In diesem Fall hat es jedoch nichts mit Audio zu tun. Diese Taktik dient dazu, das Vorhandensein von bösartigem Inhalt zu verschleiern und die Erkennung durch Netzwerksicherheitslösungen zu erschweren. Die gestohlenen Daten werden über Telegram übertragen, da dessen weitverbreitete Nutzung oft Firewall-Filter umgeht. Im Gegensatz zu anderen Messaging-Plattformen erfordert die API von Telegram nicht die Installation der Telegram-Software auf den Zielgeräten. Die Chat-Schnittstelle vereinfacht die Konversation.
Die Telegram-API des Bedrohungsakteurs wurde in den Konfigurationsdaten der Nutzlast gefunden. Leider war es aufgrund von Autorisierungsproblemen nicht möglich, Informationen über den Telegram-Bot abzurufen. Wahrscheinlich war das Token zum Zeitpunkt der Analyse bereits geändert, entfernt oder abgelaufen.
Ein weiterer Agent Tesla
Als Hauptangriffswerkzeug wurde Agent Tesla identifiziert: Ein .NET-basierter Informationsdieb, der seit 2014 aktiv ist. Dieser remote Access Trojaner zielt auf sensible Daten von Webbrowsern, E-Mail-Clients und VPN-Tools ab, während er Screenshots aufzeichnet und Tastatureingaben protokolliert. Im Laufe der Zeit wurde er mehrfach aktualisiert und sowohl in Bezug auf die Fähigkeiten als auch auf die Umgehungstechniken weiterentwickelt. In diesem speziellen Fall wurde Agent Tesla mit dem .NET-Reactor verschleiert. Die Analyse ergab, dass er über die folgenden Funktionen verfügt:
- Angriffe auf sensible Daten von rund 40 verschiedenen Webbrowsern
- Diebstahl von Anmeldedaten aus gängigen E-Mail-Clients
- Screenlogging
- Keylogging
- Sammeln von Systeminformationen
- Abfangen sensibler Daten von VPN-Tools
Der genaue Blick zeigt, dass die Variante nichts wesentlich Neues bietet. Nach der Analyse vergleichbarer Beispiele weisen jedoch alle eine ähnliche .NET-Klasse mit Konfigurationsdaten auf. Die Art und Weise der Übermittlung der gestohlenen Daten, die Persistenzvariablen, die Keylogger-Variable usw. sind in dieser Klasse enthalten. Andere Beispiele hatten die gleiche Struktur, aber nur unterschiedliche Methoden, um Informationen an den Bedrohungsakteur zu übermitteln. Die Analyse zeigt, dass die Tätergruppe neben Telegram auch FTP und SMTP nutzte. Und die Liste könnte noch viel länger sein. Seit dem 30. September 2023 wurden mehr als 700 Versionen dieser Variante auf VirusTotal beobachtet.
Fazit: Ein Angriff auf Fachleute oder ein Testballon?
Der Einsatz des ZPAQ-Komprimierungsformats wirft mehr Fragen als Antworten auf. Es ist davon auszugehen, dass die Cyberkriminelle entweder auf eine bestimmte Personengruppe abzielen, die über technische Kenntnisse verfügen oder weniger bekannte Archivierungstools verwenden. Oder sie testen andere Techniken, um Malware schneller zu verbreiten und Sicherheitssoftware zu umgehen. Es ist aber definitiv ein gutes Beispiel dafür, dass selbst sehr spezifische Archivformate oder weitverbreitete Dateierweiterungen wie .wav für bösartige Zwecke missbraucht werden.
Agent Tesla stellt eine Bedrohung für Privatpersonen und Unternehmen dar, da er Benutzerfreundlichkeit, Vielseitigkeit und Erschwinglichkeit im Dark Web kombiniert. Cyber-Sicherheitsexperten arbeiten ständig an Gegenmassnahmen und Erkennungstechniken, um seine Auswirkungen zu minimieren. Um sich zu schützen, ist ein Malware-Schutz, Sicherheitsbewusstsein und regelmässige Softwareaktualisierungen unerlässlich.