Vírus Agent Tesla, ktorý vyčíňa aj na Slovensku, dostal aktualizáciu. Teraz je omnoho silnejší a ťažšie ho identifikovať v smartfóne
Bezpečnostní experti upozorňujú na novú vlnu útokov malvéru Agent Tesla. Ten dostal nový loader sa šíri sa cez phishingové e-maily.
Bezpečnostní experti z Trustwave postrehli, že známy malvér Agent Tesla dostal nový “loader”. Ide o softvér, prostredníctvom ktorého sa škodlivý kód dostáva do zariadenia a následne sa aktivuje.
Loadery používajú pokročilé metódy na to, aby sa vyhli odhaleniu a prešli cez bezpečnostné kontroly, ktoré používajú obchody s aplikáciami alebo samotné operačné systémy. Hackerské skupiny tak môžu distribuovať malvér pomocou niekoľkých rôznych kanálov. V tomto prípade si bezpečnostní experti všimli phishingový mail, ktorý so sebou niesol prílohu, maskovanú ako podvodná banková platba.
V skutočnosti ale išlo o spustiteľný súbor typu .exe a keď naň obeť klikla, spustil sa infekčný proces, ktorý vyústil v aktiváciu malvéru Agent Tesla. Bezpečnostní experti vysvetľujú, že nový loader pre Agent Tesla nepoužíva obzvlášť nové metódy, no adaptoval si niekoľko používaných metód tak, aby výrazne podporil svoju efektivitu. V praxi sa tak malvér dokáže dostať cez lepšie bezpečnostné opatrenia a v zariadení môže ostávať nepozorovane o niečo dlhšie.
Útok sa začína phishingovým mailom, ktorý sa javí ako správa z banky. V prílohe sa však nachádza loader, ktorý využíva komplexné dešifrovacie metódy na to, aby sa vyhol odhaleniu a zamaskoval to, čo robí. Bezpečnostní experti varujú, že tento loader dokáže obísť aj niektoré antivírové programy.
Po stiahnutí do zariadenia loader sťahuje malvér zo špecifických URL adries, ktoré využívajú proxy na to, aby zamaskovali svoju online stopu. Po stiahnutí malvéru Agent Tesla sa aktivuje a kradne dáta z napadnutého zariadenia. Keďže ide o infostealer, Agent Tesla dokáže ukradnúť vaše prihlasovacie údaje, informácie o navštívených stránkach, dôležité dokumenty a viac. Dáta následne posiela útočníkovi cez ukradnuté e-mailové účty, čím hackeri ešte viac maskujú svoje stopy.
Neprehliadnite
Falošná príloha v e-maile má vyzerať ako legitímny doklad o platbe. Súbor má názov v jazyku krajiny, v ktorej sa útoky objavujú. Hackeri vyčíňajú v susednom Poľsku, no podobné pokusy môžu prebiehať aj u nás. V tomto prípade dbajte na zvýšenú pozornosť v prípade akejkoľvek nevyžiadanej správy od banky. Podvodnú prílohu môže odhaliť aj prípona “.tar.gz”.
Exfiltrácia dôležitých dát
Po stiahnutí loadera tento softvér pripraví zariadenie obete na to, aby inštalácia malvéru Agent Tesla prebehla bez problémov. To robí tak, že obíde rozhranie AMSI (Antimalware Scan Interface). Ako už názov napovedá, toto rozhranie kontroluje súbory, či neobsahujú malvér. Následne loader vyhradí miesto v pamäti pre sťahovaný malvér.
Keď sa Agent Tesla dostane do zariadenia, nezačína pracovať okamžite, čo je ďalší spôsob, ako sa vyhýba odhaleniu. Ďalším spôsobom ako sa vyhýba odhaleniu je to, že Agent Tesla beží výhradne v pamäti RAM, teda nezanecháva na disku žiadnu stopu.
Agent Tesla zaznamenáva stlačenia klávesnice, kradne prihlasovacie údaje a ďalšie dáta uložené v napadnutom zariadení. Cenné dáta následne posiela malvér útočníkom cez napadnuté e-mailové účty.
Nový loader pomáha známemu malvéru dostať sa do zariadení obete o niečo nepozorovanejšie. Bezpečnostní experti sú toho názoru, že v budúcnosti uvidíme viac malvérov, ktoré tento loader budú využívať.
Komentáre