Europese bedrijven zijn het doelwit van een nieuwe campagne met de Agent Tesla-malware, waarbij gestolen wachtwoorden op een slecht beveiligde FTP-server worden opgeslagen, zo meldt antivirusbedrijf Avast. De Amerikaanse overheid waarschuwde eerder deze maand dat Agent Tesla tot de meestgebruikte malware in 2021 behoort.

De aanval waarover Avast bericht begint met een e-mail afkomstig van een legitiem e-mailadres en voorzien van een IMG- of ISO-bijlage. Deze bestanden downloaden, wanneer door de gebruiker geopend, Agent Tesla. Deze malware kan wachtwoorden uit browsers, e-mailclients, vpn-clients, FTP-clients en het clipboard stelen. Ook fungeert de malware als keylogger en kan zo toetsaanslagen opslaan.

Verder is Agent Tesla in staat om screenshots te maken, informatie van het systeem te stelen en aanvullende malware te installeren. Bij de huidige aanvalscampagne worden verzamelde wachtwoorden via FTP naar een server van de aanvallers gestuurd. De inloggegevens voor de server worden onversleuteld verstuurd.

Iedereen die een exemplaar van de malware in handen krijgt kan die dan ook eenvoudig achterhalen en zo zelf op de server inloggen. Onderzoekers van het antivirusbedrijf vonden op de FTP-server een "groot aantal" bestanden met gegevens van slachtoffers. Deze bestanden worden elk uur door de aanvallers gedownload en daarna weer verwijderd.