Cisco Talos besproken een kwaadaardige campagne gericht op het stelen van gebruikersgegevens en andere belangrijke informatie. Zij meldde dat de Agent Tesla infostealer had een ongebruikelijke druppelaar.
Thij malware, waarvan de aanvallen begonnen in januari, gebruikt de originele bootloader bescherming bypass antivirus- en inject de code in een legitieme taak op een geïnfecteerde machine. Het laadvermogen is Agent Tesla, een bekende infostealer die inloggegevens van browsers kan stelen, e-mail klanten, en FTP-toepassingen.“De tegenstanders gebruiken aangepaste droppers, die de uiteindelijke malware in algemene processen op de machine van het slachtoffer injecteren. Eenmaal besmet, de malware kan informatie stelen van veel populaire stukjes software, inclusief Google Chrome, Safari- en Firefox-webbrowsers”, - verslag doen van Cisco Talos-specialisten.
Het unieke van de geïdentificeerde campagne ligt in de methoden die cybercriminelen gebruiken om beveiligingssystemen te omzeilen. De malware wordt via een spam-e-mail op het doelapparaat afgeleverd, waaraan een archief met de ARJ-extensie is bijgevoegd. Het gebruik van een populaire packer in de jaren 90 wordt ingegeven door de wens om het detecteren van schadelijke inhoud moeilijk te maken – Cybercriminelen hopen dat e-mailverificatiesystemen het verouderde formaat niet kunnen verwerken.
Het malware-archief bevat één uitvoerbaar bestand, wat een versluierd Autoit-script is. Na het starten, het controleert de aanwezigheid van een virtuele machine met behulp van een korte lijst met processen en, als het afwezig is, haalt het in delen uit en genereert een lading.
“De malware voert alle bewerkingen uit in het geheugen van het apparaat zonder sporen achter te laten op de harde schijf, waardoor het nog moeilijker te detecteren is”, – zeggen onderzoekers van Cisco Talos.
De installatiecode bevat verschillende functies die niet worden gebruikt bij huidige aanvallen. Bijvoorbeeld, een script kan extra bestanden van internet downloaden, evenals om met de opdrachtregel te werken.
In de laatste fase van de installatie, de malware decodeert de shell-code, die is gecodeerd met behulp van het RC4-streamalgoritme, en selecteert een van de legitieme processen voor het introduceren van de payload. Dit is de verborgen versie van de Agent Tesla-malware die informatie uit browsers en andere software kan halen.
Lees ook: Criminelen geven links naar RAT trojan in WebEx uitnodigingen
Infostealer is goed bekend bij specialisten op het gebied van informatiebeveiliging. Agent Tesla is meer dan eens gezien tijdens BEC-campagnes. Afgelopen jaar, De Gouden Galjoen groep gebruikte gerichte mailings en social engineering-methoden om malware aan rederijen te bezorgen’ computers. Gerichte aanvallen met programma's voor gegevensdiefstal stelden aanvallers in staat om te stelen $4 miljoen van vervoerders met een laag niveau van informatiebeveiliging in zes maanden.
