Cisco Talos discutió una campaña maliciosa destinado al robo de credenciales de usuario y otra información importante. Se informó que el Agente Infostealer Tesla tenía una cuenta gotas inusual.
Tque el malware, cuyos ataques comenzaron en enero, utiliza el gestor de arranque original, a la protección antivirus de derivación e inyectar su código en un proceso legítimo en una máquina infectada. La carga útil es el agente Tesla, un Infostealer bien conocido que puede robar las credenciales de los navegadores, clientes de correo electrónico, y aplicaciones FTP.“Los adversarios utilizan goteros personalizados, que inyectan el malware definitiva en los procesos comunes en la máquina de la víctima. Una vez infectado, el programa malicioso puede robar información de muchas piezas populares de software, incluyendo el Google Chrome, Safari y Firefox navegadores web”, - informe especialistas de Cisco Talos.
La singularidad de las mentiras de campaña identificados en los métodos utilizados por los ciberdelincuentes para los sistemas de seguridad de bypass. El software malicioso se entrega al dispositivo de destino con un mensaje de spam, a la que un archivo con el extensión ARJ se adjunta. El uso de un empacador popular en los años 90 es dictada por el deseo de hacer que sea difícil detectar el contenido malicioso – los delincuentes esperan que los sistemas de verificación de correo electrónico no será capaz de procesar el formato obsoleto.
El archivo de malware contiene un archivo ejecutable, que es un script ofuscado AutoIt. después de iniciar, se comprueba la presencia de una máquina virtual mediante una breve lista de procesos y, si está ausente, extractos en partes y genera una carga útil.
“El malware realiza todas las operaciones en la memoria del dispositivo sin dejar ningún rastro en el disco duro, lo que hace aún más difícil de detectar”, – dicen los investigadores de Cisco Talos.
El código del instalador contiene varias funciones que no se utilizan en los ataques actuales. Por ejemplo, un guión es capaz de descargar archivos adicionales desde Internet, así como al trabajo con la línea de comandos.
En la etapa final de la instalación, el malware decodifica el código shell, que está cifrado con el algoritmo de flujo RC4, y selecciona uno de los procesos legítimos para la introducción de la carga útil. Esta es la versión del malware ofuscado Agente Tesla que puede extraer información de los navegadores y otro software.
leer también: Los criminales dan enlaces a troyanos RAT en WebEx invitaciones
Infostealer es bien conocido por los especialistas en seguridad de la información. Agente Tesla ha sido visto más de una vez durante campañas BEC. El año pasado, los oro Galleon grupo utilizó correos dirigidos y métodos de ingeniería social para entregar software malicioso a las compañías navieras’ ordenadores. Los ataques dirigidos utilizando programas de robo de datos atacantes permitidos para robar acerca $4 millón de los operadores de transporte con un bajo nivel de seguridad de la información en seis meses.
