Casa » Como remover » proceso malicioso » El famoso Infostealer “Agente de Tesla” tiene un cuentagotas inusual

El famoso Infostealer “Agente de Tesla” tiene un cuentagotas inusual

Cisco Talos discutió una campaña maliciosa destinado al robo de credenciales de usuario y otra información importante. Se informó que el Agente Infostealer Tesla tenía una cuenta gotas inusual.

Tque el malware, cuyos ataques comenzaron en enero, utiliza el gestor de arranque original, a la protección antivirus de derivación e inyectar su código en un proceso legítimo en una máquina infectada. La carga útil es el agente Tesla, un Infostealer bien conocido que puede robar las credenciales de los navegadores, clientes de correo electrónico, y aplicaciones FTP.

“Los adversarios utilizan goteros personalizados, que inyectan el malware definitiva en los procesos comunes en la máquina de la víctima. Una vez infectado, el programa malicioso puede robar información de muchas piezas populares de software, incluyendo el Google Chrome, Safari y Firefox navegadores web”, - informe especialistas de Cisco Talos.

La singularidad de las mentiras de campaña identificados en los métodos utilizados por los ciberdelincuentes para los sistemas de seguridad de bypass. El software malicioso se entrega al dispositivo de destino con un mensaje de spam, a la que un archivo con el extensión ARJ se adjunta. El uso de un empacador popular en los años 90 es dictada por el deseo de hacer que sea difícil detectar el contenido malicioso – los delincuentes esperan que los sistemas de verificación de correo electrónico no será capaz de procesar el formato obsoleto.

El archivo de malware contiene un archivo ejecutable, que es un script ofuscado AutoIt. después de iniciar, se comprueba la presencia de una máquina virtual mediante una breve lista de procesos y, si está ausente, extractos en partes y genera una carga útil.

“El malware realiza todas las operaciones en la memoria del dispositivo sin dejar ningún rastro en el disco duro, lo que hace aún más difícil de detectar”, – dicen los investigadores de Cisco Talos.

El código del instalador contiene varias funciones que no se utilizan en los ataques actuales. Por ejemplo, un guión es capaz de descargar archivos adicionales desde Internet, así como al trabajo con la línea de comandos.

LEER  En la utilidad que es por defecto instalado en ordenadores Dell encontrado grave vulnerabilidad

En la etapa final de la instalación, el malware decodifica el código shell, que está cifrado con el algoritmo de flujo RC4, y selecciona uno de los procesos legítimos para la introducción de la carga útil. Esta es la versión del malware ofuscado Agente Tesla que puede extraer información de los navegadores y otro software.

leer también: Los criminales dan enlaces a troyanos RAT en WebEx invitaciones

Infostealer es bien conocido por los especialistas en seguridad de la información. Agente Tesla ha sido visto más de una vez durante campañas BEC. El año pasado, la oro Galleon grupo utilizó correos dirigidos y métodos de ingeniería social para entregar software malicioso a las compañías navieras’ ordenadores. Los ataques dirigidos utilizando programas de robo de datos atacantes permitidos para robar acerca $4 millón de los operadores de transporte con un bajo nivel de seguridad de la información en seis meses.

[Total:0    Promedio:0/5]

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

MageCart en la plataforma de nube Heroku

Los investigadores encontraron Varios MageCart Web skimmers En Heroku Cloud Platform

Investigadores de Malwarebytes informaron sobre la búsqueda de varios skimmers MageCart web en la plataforma de nube Heroku …

Android Spyware CallerSpy

máscaras spyware CallerSpy como una aplicación de chat Android

expertos de Trend Micro descubrieron que el malware CallerSpy, que enmascara como una aplicación de chat y Android, …

Deja una respuesta