Theo thông tin từ TechRadar, một nhóm nghiên cứu về an ninh mạng tại Zscaler ThreatLabs vừa phát hiện ra một chiến dịch gian lận đang tấn công vào các phiên bản cũ của Office, trong đó tin tặc đang tận dụng các lỗ hổng để cài đặt phần mềm gián điệp nguy hiểm có tên Agent Tesla.
Chiến dịch này ử dụng một bảng tính Excel chứa mã độc. Nếu nạn nhân đang sử dụng phiên bản Excel cũ, tài liệu sẽ tận dụng lỗ hổng CVE-2017-11882 trong trình soạn thảo công thức toán học Equation Editor để tự động thực hiện các mã độc.
Quá trình lây nhiễm diễn ra theo nhiều giai đoạn. Ban đầu, một mã VBS được giấu kín sẽ tải xuống một tệp JPG có chứa tệp DLL độc hại đã được mã hóa theo phương pháp Base64. Tệp này sau đó được chạy qua công cụ đăng ký hợp đồng Windows Assembly (RegAsm.exe) để kích hoạt phần mềm độc hại Agent Tesla.
TheHackerNews mô tả Agent Tesla là một phần mềm mã độc "keylogger cao cấp và Trojan truy cập từ xa (RAT)" có khả năng thu thập các thông tin quan trọng như tên đăng nhập, mật khẩu, nội dung bàn phím và chụp ảnh màn hình. Sau khi đã đầy đủ thông tin, Agent Tesla sẽ tự động kết nối với máy chủ điều khiển và bí mật gửi dữ liệu về mà người dùng không hay biết.
Sự phổ biến của cả phần mềm ăn cắp thông tin Agent Tesla và lỗ hổng CVE-2017-11882 trên Excel là không thể phủ nhận. Theo báo cáo của Cofense vào cuối tháng 10, Agent Tesla là loại keylogger được sử dụng nhiều nhất trong các cuộc tấn công lừa đảo trong quý 3. Ngoài ra, lỗ hổng CVE-2017-11882 cũng là phương thức phổ biến nhất được sử dụng để cài đặt những phần mềm độc hại này.
