darask
Опытный user
- Регистрация
- 15 Окт 2019
- Сообщения
- 108
- Реакции
- 0
Сотрудники фирмы Cisco Talos рассказали о вредоносной кампании, нацеленной на кражу учётных данных пользователей и другой ценной информации. Вирус, впервые замеченный в январе этого года, использует довольно необычный загрузчик, чтобы остаться незамеченным для антивирусного ПО и встроить свой код в разрешённый процесс на заражённом компьютере. А полезной нагрузкой становится давно известный инфостилер Agent Tesla, способный красть учётные данные из браузеров, почтовых клиентов и FTP-программ.
Особенность обнаруженной кампании кроется в способах, используемых распространителями вируса для обмана механизмов защиты. Заражение происходит с помощью электронной почты. К пришедшему письму приложен архив с расширением ARJ. Применение использовавшегося 30 лет назад и ныне устаревшего архиватора объясняется стремлением усложнить идентификацию вредоносного содержимого - на многих ресурсах системы проверки электронной почты не могут обработать этот формат.
Как происходит обход средств защиты
Архив содержит в себе один исполняемый файл, который является специально запутанным Autoit-сценарием. Если его запустить, то он по списку запущенных процессов проверит, имеется ли виртуальная машина, и если они отсутствует, то он частями извлекает и формирует полезную нагрузку. Вирус совершает все действия в оперативной памяти, не оставляя следов на жёстком диске, что ещё сильнее затрудняет его нахождение.
Также код установщика имеет ряд возможностей, которые не применялись в зафиксированных атаках. К примеру, он умеет скачивать из Сети другие файлы и работать с командной строкой.
Последним шагом установки вредоносной программы будет декодирование shell-кода, который зашифрован с помощью алгоритма RC4, и выбирает какой-нибудь из разрешённых процессов для встраивания полезной нагрузки. В данном случае используется новая версия вируса Agent Tesla, имеющая возможность извлекать данные из браузеров и других программ.
Данный инфостилер отлично знаком специалистам по безопасности. Agent Tesla много раз был обнаружен в процессе BEC-кампаний. В том году кибергруппировка Gold Galleon применяла адресные рассылки и методы СИ, чтобы запустить вирус на устройствах судоходных организаций. Целевые атаки с использованием инфостилеров позволили преступникам за 6 месяцев получить примерно 4 миллиона долларов от транспортных операторов, у которых был низкий уровень защиты.
Особенность обнаруженной кампании кроется в способах, используемых распространителями вируса для обмана механизмов защиты. Заражение происходит с помощью электронной почты. К пришедшему письму приложен архив с расширением ARJ. Применение использовавшегося 30 лет назад и ныне устаревшего архиватора объясняется стремлением усложнить идентификацию вредоносного содержимого - на многих ресурсах системы проверки электронной почты не могут обработать этот формат.
Как происходит обход средств защиты
Архив содержит в себе один исполняемый файл, который является специально запутанным Autoit-сценарием. Если его запустить, то он по списку запущенных процессов проверит, имеется ли виртуальная машина, и если они отсутствует, то он частями извлекает и формирует полезную нагрузку. Вирус совершает все действия в оперативной памяти, не оставляя следов на жёстком диске, что ещё сильнее затрудняет его нахождение.
Также код установщика имеет ряд возможностей, которые не применялись в зафиксированных атаках. К примеру, он умеет скачивать из Сети другие файлы и работать с командной строкой.
Последним шагом установки вредоносной программы будет декодирование shell-кода, который зашифрован с помощью алгоритма RC4, и выбирает какой-нибудь из разрешённых процессов для встраивания полезной нагрузки. В данном случае используется новая версия вируса Agent Tesla, имеющая возможность извлекать данные из браузеров и других программ.
Данный инфостилер отлично знаком специалистам по безопасности. Agent Tesla много раз был обнаружен в процессе BEC-кампаний. В том году кибергруппировка Gold Galleon применяла адресные рассылки и методы СИ, чтобы запустить вирус на устройствах судоходных организаций. Целевые атаки с использованием инфостилеров позволили преступникам за 6 месяцев получить примерно 4 миллиона долларов от транспортных операторов, у которых был низкий уровень защиты.
