Angara Professional Assistance | Agent Tesla наносит новый удар

Agent Tesla наносит новый удар

Новая фишинговая кампания была зафиксирована исследовательской группой FortiGuard Labs. Рассылаемые в рамках кампании поддельные письма содержат во вложении документ Microsoft Excel с макросом, выполнение которого вызывает загрузку и запуск вредоносного кода VBscript с помощью системной программы «mshta.exe». Как показало исследование, запуск цепочки заражения приводит к загрузке в систему жертвы нового образца вредоноса Agent Tesla, известного с 2014 года.

Agent Tesla представляет собой шпионское ПО с функционалом трояна удаленного доступа (RAT), предназначенное для кражи с устройства жертвы конфиденциальной информации, такой как сохраненные учетные данные приложений, ввод с клавиатуры и т.д.

Новый вариант шпиона отличен от своего предшественника общей картиной заражения и некоторыми особенностями самого трояна. В представленном на официальном сайте компании Fortinet отчете приводится описание одной из распространяемых в фишинговых рассылках версии Agent Tesla. 

Запуск вредоносного кода VBscript, к которому приводит выполнение макроса из документа вложения фишингового письма, состоит из трех частей. Первая отвечает за доставку трояна, настройку автозапуска и внесение изменений в планировщик заданий на устройстве. При этом для сокрытия от обнаружения программа работает в рамках легитимного системного процесса Windows «MSBuild.exe».  Вторая часть скрипта предназначена для сохранения в системном реестре и добавления в автозапуск кода PowerShell, необходимого для захвата биткойн-адреса путем постоянного обнаружения данных в системном буфере обмена. Идея состоит в подмене действительных биткойн-адресов на биткойн-адрес злоумышленника в системном буфере обмена в момент копирования адреса получателя при совершении платежа. Последняя часть вредоносного кода выполняет завершение всех процессов Microsoft Excel и Word.

Среди особенностей вредоносного ПО отмечается:

  • сбор файлов cookie;

  • сбор данных из системного буфера обмена;

  • полная обфускация кода, затрудняющая его анализ: в частности, имена элементов кода, таких как функции, переменные и классы, представлены в виде бессмысленного набора символов. При каждом запуске троян крадет сохраненные на зараженном устройстве учетные данные различных приложений и отправляет их злоумышленнику. 

В результате анализа было выявлено 73 приложения, подверженных утечке учетных данных с помощью Agent Tesla, среди которых встречаются:

  • веб-браузеры (Chrome, Firefox, Edge, Safari, «Яндекс Браузер» и др.);

  • почтовые клиенты (Opera Mail, Outlook, Thunderbird и др.);

  • VPN-клиенты (OpenVPN и др.);

  • FTP-клиенты (FileZilla, WinSCP и др.);

  • менеджеры загрузок (DownloadManager и др.).

«Рекомендуется с особой осторожностью открывать документы, полученные через электронную почту. Word и Excel вложения, например, могут содержать опасные макросы, выполнение которых, как в случае с Agent Tesla, способно по итогу привести к утечке важной конфиденциальной информации. Использование достоверных личных данных пользователей и тем более их аккаунтов открывает перед злоумышленниками возможности для развертывания масштабных целевых атак на целые организации, – поясняет Татьяна Лынова, аналитик группы оперативного мониторинга Angara Professional Assistance. – Одной из наиболее действенных превентивных мер, которая способна предотвратить загрузку на компьютер вредоносного файла или документа, является своевременное обучение персонала в вопросах информационной безопасности». 

Для выполнения этой задачи Angara Professional Assistance предлагает своим клиентам услугу «Антифишинг». С помощью обучающих курсов, тестов и специально подготовленных материалов используемая в рамках услуги платформа «Антифишинг» позволяет повысить уровень осведомленности и значимости информационной безопасности среди персонала компании.

Подробную информацию об услуге «Антифишинг» можно найти в разделе «MSS», блок «АНТИФИШИНГ», а также получить у менеджеров компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.