सोफोस ने आज मैलवेयर एजेंट टेस्ला पर एक नई रिपोर्ट जारी की: "एजेंट टेस्ला एम्प्स अप इंफॉर्मेशन स्टीलिंग अटैक"। इसमें, आईटी सुरक्षा विशेषज्ञ बताते हैं कि कैसे हमलावर सिस्टम में मैलवेयर डालने से पहले एंडपॉइंट सुरक्षा को अक्षम करने के लिए नई तकनीकों का उपयोग करते हैं।
एजेंट टेस्ला एक व्यापक रूप से इस्तेमाल किया जाने वाला रिमोट एक्सेस टूल (RAT) है जिसे 2014 से जाना जाता है और हमलावरों द्वारा डेटा चोरी के लिए उपयोग किया जाता है - अब हमलों के विवरण पर नए अपडेट सामने आए हैं। निर्माता इसे डार्क वेब मंचों पर बिक्री के लिए पेश करते हैं और इसे लगातार अपडेट करते हैं। साइबर अपराधी आमतौर पर एजेंट टेस्ला को स्पैम ईमेल के जरिए अटैचमेंट के तौर पर बांटते हैं।
मल्टी-स्टेज प्रक्रिया प्रवेश करती है
तकनीकों में एक बहु-चरण प्रक्रिया होती है जिसमें एक .NET डाउनलोडर आधिकारिक तृतीय-पक्ष वेबसाइटों, जैसे पास्टबिन और हैस्टबिन से मैलवेयर के अलग-अलग टुकड़ों को पकड़ लेता है, और फिर पूरे मैलवेयर के साथ कहर बरपाने के लिए टुकड़ों को इकट्ठा करता है। उसी समय, मैलवेयर Microsoft के एंटी-मैलवेयर सॉफ़्टवेयर इंटरफ़ेस (AMSI) में कोड को संशोधित करने का प्रयास करता है - एक विंडोज़ सुविधा जो अनुप्रयोगों और सेवाओं को स्थापित सुरक्षा उत्पादों के साथ एकीकृत करने की अनुमति देती है। इसके साथ, साइबर अपराधी एएमएसआई-सक्षम एंडपॉइंट सुरक्षा सुरक्षा को निष्क्रिय कर देते हैं, जिससे मैलवेयर बिना किसी बाधा के डाउनलोड, इंस्टॉल और चल सकता है।
रिपोर्ट प्रक्रिया का वर्णन करती है
सोफोस की नई रिपोर्ट में एजेंट टेस्ला के प्रचलन में दो संस्करणों का विवरण है। दोनों में हाल ही के अपडेट हैं जैसे क्रेडेंशियल चोरी के लिए लक्षित एप्लिकेशन की संख्या। इसमें वेब ब्राउज़र, ईमेल क्लाइंट, वर्चुअल प्राइवेट नेटवर्क क्लाइंट और उपयोगकर्ता नाम और पासवर्ड संग्रहीत करने वाले अन्य सॉफ़्टवेयर शामिल हैं, लेकिन यह इन्हीं तक सीमित नहीं है। कीस्ट्रोक्स कैप्चर करना और स्क्रीनशॉट रिकॉर्ड करना भी संभव है।
दो संस्करणों के बीच के अंतर बताते हैं कि कैसे हमलावरों ने हाल ही में आरएटी विकसित किया है और अब कई सुरक्षा चोरी और आपत्तिजनक तकनीकों को नियोजित कर रहे हैं। इनमें अज्ञात नेटवर्क क्लाइंट टोर, कमांड-एंड-कंट्रोल (सी 2) संचार के लिए टेलीग्राम मैसेजिंग एपीआई और माइक्रोसॉफ्ट के एएमएसआई को लक्षित करने के विकल्प शामिल हैं।
एजेंट टेस्ला मैलवेयर लगभग सात साल से अधिक समय से है, लेकिन यह विंडोज उपयोगकर्ताओं के सामने आने वाले सबसे आम खतरों में से एक है। यह 2020 में ईमेल के माध्यम से वितरित शीर्ष मैलवेयर परिवारों में शुमार है। दिसंबर में, एजेंट टेस्ला ने सोफोस स्कैनर्स द्वारा इंटरसेप्ट किए गए दुर्भावनापूर्ण ईमेल हमलों के लगभग 20 प्रतिशत के लिए जिम्मेदार था," सोफोस में प्रौद्योगिकी प्रचारक माइकल वीट ने कहा। "विभिन्न प्रकार के हमलावर स्क्रीनशॉट, कीबोर्ड लॉगिंग और क्लिपबोर्ड कैप्चर के माध्यम से उपयोगकर्ता क्रेडेंशियल्स और अन्य जानकारी चुराने के लिए मैलवेयर का उपयोग करते हैं।"
सोफोस आईटी प्रशासकों के लिए निम्नलिखित की सिफारिश करता है
- एक बुद्धिमान सुरक्षा समाधान की स्थापना जो संदिग्ध ईमेल और उनके अनुलग्नकों को उपयोगकर्ताओं तक पहुंचने से पहले जांचता है, पहचानता है और ब्लॉक कर सकता है।
- यह सत्यापित करने के लिए प्रभावी प्रमाणीकरण मानकों का निर्माण कि ईमेल वही हैं जो वे कहते हैं कि वे हैं।
संदिग्ध ईमेल के चेतावनी संकेतों को पहचानने के लिए कर्मचारियों को प्रशिक्षित करें और संदिग्ध ईमेल मिलने पर क्या करें। - उपयोगकर्ताओं को यह सुनिश्चित करने के लिए ईमेल की जांच करने के लिए प्रोत्साहित करें कि वे उसी पते और व्यक्ति से आए हैं जिसका वे दावा करते हैं।
उपयोगकर्ताओं को सलाह दें कि वे कभी भी अज्ञात प्रेषकों के ईमेल में अटैचमेंट न खोलें या लिंक पर क्लिक न करें।
सोफोस इंटरसेप्ट एक्स एंडपॉइंट प्रोटेक्शन एजेंट टेस्ला इंस्टॉलर मालवेयर और आरएटी का मशीन लर्निंग तकनीक के साथ-साथ ट्रोज/टेस्ला-बीई और ट्रोज/टेस्ला-एडब्ल्यू हस्ताक्षरों का पता लगाता है।
Sophos.com पर और जानें
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।