darask
New member
Сотрудники фирмы CiscoTalos овредоносной кампании, нацеленной накражу учётных данных пользователей идругой ценной информации. Вирус, впервые замеченный вянваре этого года, использует довольно необычный загрузчик, чтобы остаться незамеченным для антивирусного ПО ивстроить свой код вразрешённый процесс назаражённом компьютере. А полезной нагрузкой становится давно известный инфостилер AgentTesla, способный красть учётные данные избраузеров, почтовых клиентов иFTP-программ.
Особенность обнаруженной кампании кроется вспособах, используемых распространителями вируса дляобмана механизмов защиты. Заражение происходит спомощью электронной почты. К пришедшемуписьму приложен архив срасширением ARJ. Применение использовавшегося 30 лет назад и ныне устаревшего архиватора объясняется стремлением усложнить идентификацию вредоносного содержимого - на многих ресурсах системы проверки электронной почты немогут обработать этот формат.
Как происходит обход средств защиты
Архив содержит в себе один исполняемый файл, который является специально запутанным Autoit-сценарием. Если его запустить, то он по списку запущенных процессов проверит, имеется ли виртуальная машина, иесли они отсутствует, то он частями извлекает иформирует полезную нагрузку. Вирус совершает все действия в оперативнойпамяти, неоставляя следов нажёстком диске, что ещё сильнее затрудняет его нахождение.
Также код установщика имеет ряд возможностей, которые неприменялись в зафиксированных атаках. К примеру, он умеет скачивать изСети другие файлы и работать скомандной строкой.
Последним шагом установки вредоносной программы будет декодирование shell-кода, который зашифрован спомощью алгоритма RC4, ивыбирает какой-нибудь изразрешённых процессов длявстраивания полезной нагрузки. Вданном случае используется новая версия вируса AgentTesla, имеющая возможность извлекать данные избраузеров идругих программ.
Данный инфостилер отлично знаком специалистампо безопасности. AgentTesla многораз был обнаружен впроцессе BEC-кампаний. Втом году кибергруппировка GoldGalleon применяла адресные рассылки иметоды СИ, чтобы запустить вирус наустройствах судоходных организаций. Целевые атаки сиспользованием инфостилеров позволили преступникам за6 месяцев получить примерно 4миллиона долларов оттранспортных операторов, у которых был низкий уровень защиты.
Особенность обнаруженной кампании кроется вспособах, используемых распространителями вируса дляобмана механизмов защиты. Заражение происходит спомощью электронной почты. К пришедшемуписьму приложен архив срасширением ARJ. Применение использовавшегося 30 лет назад и ныне устаревшего архиватора объясняется стремлением усложнить идентификацию вредоносного содержимого - на многих ресурсах системы проверки электронной почты немогут обработать этот формат.
Как происходит обход средств защиты
Архив содержит в себе один исполняемый файл, который является специально запутанным Autoit-сценарием. Если его запустить, то он по списку запущенных процессов проверит, имеется ли виртуальная машина, иесли они отсутствует, то он частями извлекает иформирует полезную нагрузку. Вирус совершает все действия в оперативнойпамяти, неоставляя следов нажёстком диске, что ещё сильнее затрудняет его нахождение.
Также код установщика имеет ряд возможностей, которые неприменялись в зафиксированных атаках. К примеру, он умеет скачивать изСети другие файлы и работать скомандной строкой.
Последним шагом установки вредоносной программы будет декодирование shell-кода, который зашифрован спомощью алгоритма RC4, ивыбирает какой-нибудь изразрешённых процессов длявстраивания полезной нагрузки. Вданном случае используется новая версия вируса AgentTesla, имеющая возможность извлекать данные избраузеров идругих программ.
Данный инфостилер отлично знаком специалистампо безопасности. AgentTesla многораз был обнаружен впроцессе BEC-кампаний. Втом году кибергруппировка GoldGalleon применяла адресные рассылки иметоды СИ, чтобы запустить вирус наустройствах судоходных организаций. Целевые атаки сиспользованием инфостилеров позволили преступникам за6 месяцев получить примерно 4миллиона долларов оттранспортных операторов, у которых был низкий уровень защиты.