Cisco Talos diskutierte eine bösartige Kampagne mit dem Ziel an Benutzerdaten stehlen und andere wichtige Informationen. Sie berichteten, dass der Agent Tesla infostealer eine ungewöhnliche Tropf hatte.
Ter Malware, das begann Angriffe im Januar, verwendet die Original-Bootloader in dem Bypass-Antivirenschutz und inject seinen Code in ein rechtmäßiges Verfahren auf einem infizierten Rechner. Die Nutzlast ist Agent-Tesla, ein bekannter Infostealer, der Anmeldeinformationen von Browsern stehlen kann, E-Mail-Clients, und FTP-Anwendungen.„Die Gegner verwenden benutzerdefinierte Pipetten, die die endgültige Malware in gängige Prozesse auf dem Opfercomputer einschleusen. Einmal infiziert, die Malware kann Informationen von vielen gängigen Softwareprogrammen stehlen, einschließlich Google Chrome, Safari- und Firefox-Webbrowser“, - Bericht Cisco Talos-Spezialisten.
Die Einzigartigkeit der identifizierten Kampagne liegt in den Methoden der Cyberkriminellen, um Sicherheitssysteme zu umgehen. Die Malware wird per Spam-E-Mail an das Zielgerät geliefert, zu denen ein Archiv mit den ARJ-Erweiterung es ist angehängt. Die Verwendung eines beliebten Packers in den 90er Jahren wird durch den Wunsch diktiert, die Erkennung schädlicher Inhalte zu erschweren – Cyberkriminelle hoffen, dass E-Mail-Verifizierungssysteme das veraltete Format nicht verarbeiten können.
Das Malware-Archiv enthält eine ausführbare Datei, das ist ein verschleiertes Autoit-Skript. Nach dem Start, es überprüft das Vorhandensein einer virtuellen Maschine anhand einer kurzen Liste von Prozessen und, wenn es fehlt, extrahiert es in Teilen und generiert eine Nutzlast.
„Die Malware führt alle Operationen im Speicher des Geräts aus, ohne Spuren auf der Festplatte zu hinterlassen, was die Erkennung noch schwieriger macht”, – sagen Cisco Talos-Forscher.
Der Installer-Code enthält mehrere Funktionen, die bei aktuellen Angriffen nicht verwendet werden. Zum Beispiel, ein Skript kann zusätzliche Dateien aus dem Internet herunterladen, sowie um mit der Kommandozeile zu arbeiten.
In der letzten Phase der Installation, die Malware entschlüsselt den Shell-Code, die mit dem RC4-Stream-Algorithmus verschlüsselt ist, und wählt einen der legitimen Prozesse zum Einbringen der Nutzlast aus. Dies ist die verschleierte Version der Agent Tesla-Malware, die Informationen aus Browsern und anderer Software extrahieren kann.
lesen Sie auch: Criminals geben Links zu RAT Trojaner in WebEx Einladungen
Infostealer ist bei Informationssicherheitsspezialisten bekannt. Agent Tesla wurde währenddessen mehr als einmal gesehen BEC-Kampagnen. Vergangenes Jahr, Das Goldene Galeone group nutzte gezielte Mailings und Social-Engineering-Methoden, um Malware an Versandunternehmen zu liefern’ Computers. Gezielte Angriffe mit Datendiebstahlprogrammen ermöglichten es Angreifern, herumzustehlen $4 Million von Verkehrsunternehmen mit geringer Informationssicherheit in sechs Monaten.
