Hjem » Sådan fjernes » ondsindet proces » Den berømte infostealer ”Agent tesla” har en usædvanlig dropper

Den berømte infostealer ”Agent tesla” har en usædvanlig dropper

Cisco Talos diskuterede en ondsindet kampagne rettet mod at stjæle brugeroplysninger og andre vigtige oplysninger. De rapporterede, at Agent Tesla infostealer havde en usædvanlig dropper.

Than malware, angreb, hvis begyndte i januar, bruger den oprindelige bootloader til bypass antivirusbeskyttelse og injicere sin kode i en legitim proces på en inficeret maskine. Nyttelasten er agent Tesla, en velkendt infostealer der kan stjæle legitimationsoplysninger fra browsere, e-mail-klienter, og FTP applikationer.

”De modstandere bruger tilpassede pipetter, som injicere den endelige malware til fælles processer på offerets maskine. Når smittet, malwaren kan stjæle oplysninger fra mange populære stykker software, herunder Google Chrome, Safari og Firefox webbrowsere”, - rapport Cisco Talos specialister.

Det unikke ved de identificerede kampagne ligger i de metoder, der bruges af cyberkriminelle til at omgå sikkerhedssystemer. Den malware leveres til målet enheden ved hjælp af en spam e-mail, hvortil et arkiv med ARJ udvidelse er vedhæftet. Brugen af ​​en populær pakker i 90'erne er dikteret af ønsket om at gøre det vanskeligt at opdage ondsindet indhold – cyberkriminelle håber, at e-mail-kontrolsystemer ikke vil være i stand til at behandle den forældede format.

Den malware arkiv indeholder en eksekverbar fil, som er en korrumperet AutoIt script. efter at have startet, Det kontrollerer tilstedeværelsen af ​​en virtuel maskine ved hjælp af en kort liste over processer og, hvis det er fraværende, udtrækker det i dele og genererer en nyttelast.

”The malware udfører alle operationer i enhedens hukommelse uden at efterlade spor på harddisken, hvilket gør det endnu vanskeligere at opdage”, – siger Cisco Talos forskere.

Installatøren kode indeholder flere funktioner, der ikke anvendes i de nuværende angreb. For eksempel, et script er i stand til at downloade flere filer fra internettet, samt til arbejdet med kommandolinjen.

LÆS  Keylogger HawkEye genfødt i anden version, og igen angriber virksomheder

På den afsluttende fase af installationen, malware dekoder skallen kode, der er krypteret med RC4 stream algoritme, og vælger en af ​​de legitime fremgangsmåder til indføring af nyttelasten. Dette er den sammenrodet version af Agent Tesla malware, der kan udtrække oplysninger fra browsere og anden software.

Læs også: Kriminelle giver links til RAT trojan i WebEx invitationer

Infostealer er velkendt for informationssikkerhed specialister. Agent Tesla er blevet set mere end én gang i løbet af BEC-kampagner. Sidste år, det Guld Galleon gruppe, der anvendes målrettede forsendelser og social engineering metoder til at levere malware til rederier’ computere. Målrettede angreb med datatyveri programmer tilladt angribere at stjæle omkring $4 million fra transportvirksomheder med et lavt niveau af informationssikkerhed i seks måneder.

[i alt: 0    Gennemsnit: 0/5]

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

MageCart på Heroku Cloud Platform

Forskere har fundet flere MageCart Web Forplove On Heroku Cloud Platform

Forskere ved Malwarebytes rapporteret om at finde flere MageCart web skummere på Heroku cloud-platform …

Android Spyware CallerSpy

CallerSpy spyware masker som en Android chat applikation

Trend Micro eksperter opdagede malware CallerSpy, hvilke masker som en Android chat program og, …

Skriv et svar