Новый дроппер Agent Tesla собирается прямо в памяти машины-жертвы

Опубликовано at 21:15
62 0

Специалисты Cisco Talos, давно следящие за причудами инфостилера Agent Tesla, рассказали о новой вредоносной кампании, нацеленной на похищение учетных данных пользователей и другой важной информации.

Кампания продолжается с января. Зловред, который сам по себе неплохо изучен, в этот раз применяет оригинальный загрузчик, чтобы обойти антивирусную защиту и внедрить свой код в легитимный процесс на инфицированной машине.

Происходит это так: зловред доставляется на целевое устройство при помощи спам-письма, к которому приложен архив с расширением ARJ. Использование популярного в 90-х годах упаковщика продиктовано желанием затруднить обнаружение вредоносного содержимого. Вредоносный архив содержит один исполняемый файл, который представляет собой обфусцированный Autoit-сценарий. После запуска он проверяет наличие виртуальной машины по короткому списку процессов и в случае ее отсутствия извлекает по частям и формирует полезную нагрузку. Зловред выполняет все операции в памяти устройства, не оставляя следов на жестком диске, что еще больше затрудняет его обнаружение.

На финальном этапе установки вредоносная программа декодирует шелл-код, зашифрованный при помощи потокового алгоритма RC4, и выбирает один из легитимных процессов для внедрения полезной нагрузки. В этом качестве выступает обфусцированная версия зловреда Agent Tesla, способная извлекать информацию из браузеров и другого программного обеспечения.

В 2018 году группировка Gold Galleon использовала адресные рассылки и методы социальной инженерии, чтобы доставить зловред на компьютеры судоходных компаний. Целевые атаки с применением программ для кражи данных позволили злоумышленникам за полгода похитить около $4 млн у транспортных операторов, отличающихся низким уровнем информационной безопасности.

Год назад эксперты команды Cisco Talos сообщали о целой новой кампании по распространению инфостилеров (т.е. информационных крадунов), в первую очередь Agent Tesla, во вторую — Loki и Gamarue. Эти вредоносы способных воровать вашу информацию из различных приложений, например, Google Chrome, Mozilla Firefox, Microsoft Outlook итд.

Казалось бы, что тут особенного? Новые вирусы, в том числе инфостилеры появляются каждую неделю. Дело в том, что в нынешней Agent Tesla-кампании хакеры используют модифицированный процесс эксплуатации известных уязвимостей в Microsoft Word ( CVE-2017-0199 и CVE-2017-11882 ). Таким образом они могут легко инфицировать ОС, не привлекая внимания санитаров, то есть, антивирусов — для этого вам достаточно просто открыть RTF-файл, сам по себе безобидный.

Этот RTF-файл самостоятельно загрузит конечный вредоносный модуль, не вызывая подозрений со стороны защитных решений. По словам специалистов Cisco Talos , только 2 из 58 антивирусов сочли файл подозрительным, да и то при этом они всего лишь предупреждали, что документ «неправильно отформатирован».

Читайте также на АКБ:

Cisco Talos: новый червь-инфокрадун невидим для антивирусов

Подписываемся, следим @CyberAgency

Related Post

Критическая инфраструктура боится кибератак

Опубликовано - 10.10.2019 0
Опрос компании Siemens показывает, что представители сферы коммунальных услуг опасаются кибератак на критическую инфраструктуру в следующем году. Исследование провели совместно…