Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Зашифрованный скрипт Autoit собирает инфостилер в памяти компьютера и внедряет его в легитимный процесс.
Специалисты Cisco Talos рассказали о вредоносной кампании, нацеленной на похищение учетных данных пользователей и другой важной информации. Зловред, атаки которого начались в январе, применяет оригинальный загрузчик, чтобы обойти антивирусную защиту и внедрить свой код в легитимный процесс на инфицированной машине. В качестве полезной нагрузки выступает хорошо известный инфостилер Agent Tesla, способный похищать учетные данные из браузеров, почтовых клиентов и FTP-приложений.
Уникальность выявленной кампании состоит в методах, применяемых злоумышленниками для обхода систем защиты. Зловред доставляется на целевое устройство при помощи спам-письма, к которому приложен архив с расширением ARJ. Использование популярного в 90-х годах упаковщика продиктовано желанием затруднить обнаружение вредоносного содержимого — киберпреступники надеются, что системы проверки электронной почты не смогут обработать устаревший формат.
Вредоносный архив содержит один исполняемый файл, который представляет собой обфусцированный Autoit-сценарий. После запуска он проверяет наличие виртуальной машины по короткому списку процессов и в случае ее отсутствия извлекает по частям и формирует полезную нагрузку. Зловред выполняет все операции в памяти устройства, не оставляя следов на жестком диске, что еще больше затрудняет его обнаружение. Код установщика содержит несколько функций, которые не используются в текущих атаках. Например, скрипт способен загружать из Интернета дополнительные файлы, а также работать с командной строкой.
На финальном этапе установки вредоносная программа декодирует шелл-код, зашифрованный при помощи потокового алгоритма RC4, и выбирает один из легитимных процессов для внедрения полезной нагрузки. В этом качестве выступает обфусцированная версия зловреда Agent Tesla, способная извлекать информацию из браузеров и другого программного обеспечения.
Инфостилер хорошо известен ИБ-специалистам — Agent Tesla не раз был замечен в ходе BEC-кампаний. В прошлом году группировка Gold Galleon использовала адресные рассылки и методы социальной инженерии, чтобы доставить зловред на компьютеры судоходных компаний. Целевые атаки с применением программ для кражи данных позволили злоумышленникам за полгода похитить около $4 млн у транспортных операторов, отличающихся низким уровнем информационной безопасности.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |