Cisco Talos diskuterede en ondsindet kampagne rettet mod at stjæle brugeroplysninger og andre vigtige oplysninger. De rapporterede, at Agent Tesla infostealer havde en usædvanlig dropper.
Than malware, angreb, hvis begyndte i januar, bruger den oprindelige bootloader til bypass antivirusbeskyttelse og injicere sin kode i en legitim proces på en inficeret maskine. Nyttelasten er agent Tesla, en velkendt infostealer der kan stjæle legitimationsoplysninger fra browsere, e-mail-klienter, og FTP applikationer.”De modstandere bruger tilpassede pipetter, som injicere den endelige malware til fælles processer på offerets maskine. Når smittet, malwaren kan stjæle oplysninger fra mange populære stykker software, herunder Google Chrome, Safari og Firefox webbrowsere”, - rapport Cisco Talos specialister.
Det unikke ved de identificerede kampagne ligger i de metoder, der bruges af cyberkriminelle til at omgå sikkerhedssystemer. Den malware leveres til målet enheden ved hjælp af en spam e-mail, hvortil et arkiv med ARJ udvidelse er vedhæftet. Brugen af en populær pakker i 90'erne er dikteret af ønsket om at gøre det vanskeligt at opdage ondsindet indhold – cyberkriminelle håber, at e-mail-kontrolsystemer ikke vil være i stand til at behandle den forældede format.
Den malware arkiv indeholder en eksekverbar fil, som er en korrumperet AutoIt script. efter at have startet, Det kontrollerer tilstedeværelsen af en virtuel maskine ved hjælp af en kort liste over processer og, hvis det er fraværende, udtrækker det i dele og genererer en nyttelast.
”The malware udfører alle operationer i enhedens hukommelse uden at efterlade spor på harddisken, hvilket gør det endnu vanskeligere at opdage”, – siger Cisco Talos forskere.
Installatøren kode indeholder flere funktioner, der ikke anvendes i de nuværende angreb. For eksempel, et script er i stand til at downloade flere filer fra internettet, samt til arbejdet med kommandolinjen.
På den afsluttende fase af installationen, malware dekoder skallen kode, der er krypteret med RC4 stream algoritme, og vælger en af de legitime fremgangsmåder til indføring af nyttelasten. Dette er den sammenrodet version af Agent Tesla malware, der kan udtrække oplysninger fra browsere og anden software.
Læs også: Kriminelle giver links til RAT trojan i WebEx invitationer
Infostealer er velkendt for informationssikkerhed specialister. Agent Tesla er blevet set mere end én gang i løbet af BEC-kampagner. Sidste år, Det Guld Galleon gruppe, der anvendes målrettede forsendelser og social engineering metoder til at levere malware til rederier’ computere. Målrettede angreb med datatyveri programmer tilladt angribere at stjæle omkring $4 million fra transportvirksomheder med et lavt niveau af informationssikkerhed i seks måneder.
