시스코 탈로스는 사용자 자격 증명 및 기타 중요한 정보를 도용하기위한 악의적 인 캠페인을 논의. 그들은 에이전트 테슬라 infostealer가 특이한 점 적기을 한 것으로보고.
티그는 맬웨어, 그의 공격은 월 시작, 감염된 시스템에서 합법적 인 프로세스에 해당 코드 바이 패스 안티 바이러스 보호 및 분사 원래의 부트 로더를 사용합니다. 페이로드는 에이전트 테슬라입니다, 브라우저에서 자격 증명을 훔칠 수있는 잘 알려진 Infostealer, 이메일 클라이언트, 및 FTP 응용 프로그램.“적은 스포이드를 사용합니다, 대상 컴퓨터의 일반 프로세스에 최종 맬웨어를 주입합니다.. 감염되면, 이 악성 코드는 많은 소프트웨어에서 정보를 훔칠 수 있습니다, 구글 크롬 포함, 사파리와 파이어 폭스 웹 브라우저”, - 보고서 Cisco Talos 전문가.
식별 된 캠페인의 고유성은 사이버 범죄자가 보안 시스템을 우회하기 위해 사용하는 방법에 있습니다.. 악성 코드는 스팸 이메일을 사용하여 대상 장치로 전달됩니다, 어느 아카이브에 ARJ 확장 첨부. 90 년대에 인기있는 패커를 사용하는 것은 악성 컨텐츠를 탐지하기 어렵게하려는 요구에 의해 결정됩니다 – 사이버 범죄자들은 이메일 검증 시스템이 오래된 형식을 처리 할 수 없기를 희망합니다.
악성 코드 아카이브에 하나의 실행 파일이 포함되어 있습니다, 난독 화 된 Autoit 스크립트입니다. 시작 후, 짧은 프로세스 목록을 사용하여 가상 머신이 있는지 확인하고, 그것이 없다면, 부분적으로 추출하여 페이로드를 생성합니다.
“멀웨어는 하드 디스크에 흔적을 남기지 않고 장치 메모리의 모든 작업을 수행합니다., 감지하기가 더 어렵습니다”, – Cisco Talos 연구원.
설치 관리자 코드에는 현재 공격에 사용되지 않는 몇 가지 기능이 포함되어 있습니다. 예를 들면, 스크립트는 인터넷에서 추가 파일을 다운로드 할 수 있습니다, 명령 줄 작업.
설치의 마지막 단계에서, 악성 코드는 쉘 코드를 해독, RC4 스트림 알고리즘을 사용하여 암호화 된, 페이로드를 도입하기위한 합법적 인 프로세스 중 하나를 선택합니다. 이것은 브라우저 및 기타 소프트웨어에서 정보를 추출 할 수있는 혼란스러운 Agent Tesla 맬웨어 버전입니다..
또한 읽기: 범죄자들은 웹엑스 초대에 RAT 트로이 목마에 대한 링크를 제공
Infostealer는 정보 보안 전문가에게 잘 알려져 있습니다.. 테슬라 요원이 BEC 캠페인. 작년, 그만큼 골드 갤리온 선 그룹은 대상 메일 링 및 사회 공학 방법을 사용하여 해운 회사에 맬웨어를 전달했습니다.’ 컴퓨터. 데이터 도난 프로그램을 이용한 표적 공격으로 공격자는 $4 백만 6 개월 안에 정보 보안 수준이 낮은 운송 사업자.
