» 제거하는 방법 » 악성 과정 » 유명한 infostealer "에이전트 테슬라는"특이한 점 적기가 있습니다

유명한 infostealer "에이전트 테슬라는"특이한 점 적기가 있습니다

시스코 탈로스는 사용자 자격 증명 및 기타 중요한 정보를 도용하기위한 악의적 인 캠페인을 논의. 그들은 에이전트 테슬라 infostealer가 특이한 점 적기을 한 것으로보고.

그는 맬웨어, 그의 공격은 월 시작, 감염된 시스템에서 합법적 인 프로세스에 해당 코드 바이 패스 안티 바이러스 보호 및 분사 원래의 부트 로더를 사용합니다. 페이로드는 에이전트 테슬라입니다, a well-known infostealer that can steal credentials from browsers, email clients, and FTP applications.

“The adversaries use custom droppers, which inject the final malware into common processes on the victim machine. Once infected, the malware can steal information from many popular pieces of software, including the Google Chrome, Safari and Firefox web browsers”, - 보고서 Cisco Talos specialists.

The uniqueness of the identified campaign lies in the methods used by cybercriminals to bypass security systems. The malware is delivered to the target device using a spam email, to which an archive with the ARJ extension is attached. The use of a popular packer in the 90s is dictated by the desire to make it difficult to detect malicious contentcybercriminals hope that email verification systems will not be able to process the outdated format.

The malware archive contains one executable file, which is an obfuscated Autoit script. After starting, it checks the presence of a virtual machine using a short list of processes and, if it is absent, extracts it in parts and generates a payload.

“The malware performs all operations in the device’s memory without leaving any traces on the hard disk, which makes it even more difficult to detect”, – say Cisco Talos researchers.

The installer code contains several functions that are not used in current attacks. 예를 들면, a script is able to download additional files from the Internet, as well as to work with the command line.

독서  DNSpoinage 캠페인 실시 사이버 범죄자, 새로운 악성 소프트웨어로 지금 무장

At the final stage of the installation, the malware decodes the shell code, which is encrypted using the RC4 stream algorithm, and selects one of the legitimate processes for introducing the payload. This is the obfuscated version of the Agent Tesla malware that can extract information from browsers and other software.

또한 읽기: 범죄자들은 ​​웹엑스 초대에 RAT 트로이 목마에 대한 링크를 제공

Infostealer is well known to information security specialists. Agent Tesla has been seen more than once during BEC campaigns. 작년, 그만큼 Gold Galleon group used targeted mailings and social engineering methods to deliver malware to shipping companies’ 컴퓨터. Targeted attacks using data theft programs allowed attackers to steal about $4 백만 from transport operators with a low level of information security in six months.

[합계: 0    평균: 0/5]

트로이 킬러 소개

메모리 스틱에 트로이 킬러 휴대용 운반. 당신은 당신이 어디를 가든 당신의 PC가 어떤 사이버 위협에 저항 도울 수 있는지 확인하십시오.

또한 확인

Heroku가 클라우드 플랫폼에 MageCart

연구진은 여러 MageCart 웹 스키머에 Heroku가 클라우드 플랫폼 발견

Malwarebytes 연구원은 Heroku가 클라우드 플랫폼에서 여러 MageCart 웹 스키머를 찾는 것에 대해보고 …

안드로이드 스파이웨어 CallerSpy

안드로이드 채팅 응용 프로그램으로 CallerSpy 스파이웨어 마스크

트렌드 마이크로의 전문가들은 악성 코드 CallerSpy 발견, 안드로이드 채팅 응용 프로그램으로하는 마스크와, …

회신을 남겨주