RTF dokumentumokkal terjedő kártékony kódot azonosított a Cisco Talos Intelligence Group. A bűnözők az Office CVE-2017-11882 sebezhetőségére építik kampányukat, amelynek elsőrendű célja belépési azonosítók megszerzése.
A sebezhetőség a Microsoft Office 2007 Service Pack 3-ban, a Microsoft Office 2010 Service Pack 2-ben, a Microsoft Office 2013 Service Pack 1-ben és a Microsoft Office 2016-ban található, és a támadók RTF dokumentumok segítségével használják ki.
Az RTF formátum ugyan nem támogatja a makrókat, viszont az OLE objektumokat igen, és ezekkel is eljuttatható kártékony tartalom az áldozatok gépre.
A Cisco Talos kutatói szerint az Agent Tesla trójai jelszavakat, belépési adatokat gyűjt olyan programokhoz, mint a Chrome, a Firefox és a Microsoft Outlook, emellett videókat is rögzít, képernyőfotókat készít, és a vezérlő szerverről letöltött további kártékony eszközöket telepít a gépre.
A vírusterjesztési kampány nagy profizmusról árulkodik: a bűnözők sokféle, egyedileg átalakított kódot használnak, és fejlett technikákkal játsszák ki a vírusellenes programok éberségét.
