SOS :: Security Operation Space
9 декабря, понедельник, 00:00
|
Hot News:

У Agent Tesla появился необычный дроппер

18 ноября 2019 г., понедельник, 15:36

Зашифрованный скрипт Autoit собирает инфостилер в памяти компьютера и внедряет его в легитимный процесс.

Специалисты Cisco Talos рассказали о вредоносной кампании, нацеленной на похищение учетных данных пользователей и другой важной информации. Зловред, атаки которого начались в январе, применяет оригинальный загрузчик, чтобы обойти антивирусную защиту и внедрить свой код в легитимный процесс на инфицированной машине. В качестве полезной нагрузки выступает хорошо известный инфостилер Agent Tesla, способный похищать учетные данные из браузеров, почтовых клиентов и FTP-приложений.

Уникальность выявленной кампании состоит в методах, применяемых злоумышленниками для обхода систем защиты. Зловред доставляется на целевое устройство при помощи спам-письма, к которому приложен архив с расширением ARJ. Использование популярного в 90-х годах упаковщика продиктовано желанием затруднить обнаружение вредоносного содержимого — киберпреступники надеются, что системы проверки электронной почты не смогут обработать устаревший формат.

Как инфостилер обходит системы защиты

Вредоносный архив содержит один исполняемый файл, который представляет собой обфусцированный Autoit-сценарий. После запуска он проверяет наличие виртуальной машины по короткому списку процессов и в случае ее отсутствия извлекает по частям и формирует полезную нагрузку. Зловред выполняет все операции в памяти устройства, не оставляя следов на жестком диске, что еще больше затрудняет его обнаружение. Код установщика содержит несколько функций, которые не используются в текущих атаках. Например, скрипт способен загружать из Интернета дополнительные файлы, а также работать с командной строкой.

На финальном этапе установки вредоносная программа декодирует шелл-код, зашифрованный при помощи потокового алгоритма RC4, и выбирает один из легитимных процессов для внедрения полезной нагрузки. В этом качестве выступает обфусцированная версия зловреда Agent Tesla, способная извлекать информацию из браузеров и другого программного обеспечения.

Инфостилер хорошо известен ИБ-специалистам — Agent Tesla не раз был замечен в ходе BEC-кампаний. В прошлом году группировка Gold Galleon использовала адресные рассылки и методы социальной инженерии, чтобы доставить зловред на компьютеры судоходных компаний. Целевые атаки с применением программ для кражи данных позволили злоумышленникам за полгода похитить около $4 млн у транспортных операторов, отличающихся низким уровнем информационной безопасности.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:59
16:26
16:06
15:15
14:15
12:15
11:15
10:15
07:15
06:15
05:37
04:28
17:15
16:15
16:15
14:49
13:15
10:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.473
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.