El malware de l'agent Tesla es va difondre a través dels documents de Microsoft Word l'any passat, i ara ens va tornar a embruixar. L’última variant del programari espia demana a les víctimes que facin doble clic sobre una icona blava per permetre una visualització més clara d’un document de Word.

Si l’usuari no té prou importància per fer-hi clic, això provocarà l’extracció d’un fitxer.exe de l’objecte incrustat a la carpeta temporal del sistema i després l’executi. Això només és un exemple de com funciona aquest programari maliciós.

El programari maliciós està escrit a MS Visual Basic

El programari maliciós està escrit en el llenguatge de MS Visual Basic i va ser analitzat per Xiaopeng Zhang que va publicar l'anàlisi detallada al seu blog el 5 d'abril.

El fitxer executable trobat per ell es deia POM.exe i és una mena de programa d'instal·lador. Quan s'executa, va deixar dos fitxers anomenats filename.exe i filename.vbs a la subcarpeta% temp%. Per fer-lo funcionar automàticament al començar, el fitxer s’afegeix al registre del sistema com a programa d’inici i s’executa% temp% filename.exe.

El programari maliciós crea un procés fill suspès

Quan s'inicia el nom de fitxer.exe, això donarà lloc a la creació d'un procés fill suspès amb el mateix que per protegir-se.

Després d'això, extraurà un fitxer PE nou del seu propi recurs per sobreescriure la memòria del procés fill. A continuació, arriba la represa de l’execució del procés fill.