ソフォスは本日、マルウェア Agent Tesla に関する新しいレポート「Agent Tesla Amps Up Information Stealing Attack」をリリースしました。 その中で、IT セキュリティの専門家は、攻撃者がマルウェアをシステムに挿入する前にエンドポイント保護を無効にする新しい手法を使用する方法について説明しています。
Agent Tesla は、2014 年から広く使用されているリモート アクセス ツール (RAT) であり、攻撃者がデータの盗難に使用していました。 作成者は、ダーク Web フォーラムで販売用に提供し、継続的に更新します。 サイバー犯罪者は通常、Agent Tesla をスパム メールの添付ファイルとして配布します。
多段加工が浸透
この手法は、.NET ダウンローダーが、pastebin や hastebin などのサードパーティの公式 Web サイトから個々のマルウェアの断片を取得し、それらの断片を組み立てて、完成したマルウェアで大混乱を引き起こす、複数のステップからなるプロセスを特徴としています。 同時に、マルウェアは Microsoft の Anti-Malware Software Interface (AMSI) のコードを変更しようとします。AMSI は、アプリケーションやサービスをインストール済みのセキュリティ製品と統合できるようにする Windows の機能です。 これにより、サイバー犯罪者は AMSI 対応のエンドポイント セキュリティ保護を無効にし、マルウェアを何の障害もなくダウンロード、インストール、実行できるようにします。
手順を説明するレポート
Sophos からの新しいレポートには、流通している Agent Tesla の XNUMX つのバージョンが詳述されています。 どちらも、資格情報の盗難の標的となったアプリケーションの数など、最近の更新があります。 これには、Web ブラウザ、電子メール クライアント、仮想プライベート ネットワーク クライアント、およびユーザー名とパスワードを保存するその他のソフトウェアが含まれますが、これらに限定されません。 キーストロークをキャプチャしてスクリーンショットを記録することも可能です。
2 つのバージョンの違いは、攻撃者が最近 RAT をどのように進化させ、現在、複数のセキュリティ回避および難読化技術を採用しているかを示しています。 これらには、匿名化ネットワーク クライアント Tor のインストールと使用、コマンド アンド コントロール (CXNUMX) 通信用の Telegram メッセージング API、および Microsoft の AMSI をターゲットにするためのオプションが含まれます。
Agent Tesla マルウェアは 2020 年以上にわたって活動を続けていますが、依然として Windows ユーザーが直面する最も一般的な脅威の 20 つです。 XNUMX 年に電子メールで配布されたマルウェア ファミリの上位にランクされています。 XNUMX 月には、ソフォスのスキャナが傍受した悪意のある電子メール攻撃の約 XNUMX% をエージェント テスラが占めました」と、ソフォスのテクノロジー エバンジェリストである Michael Veit は述べています。 「さまざまな攻撃者がこのマルウェアを使用して、スクリーンショット、キーボード ロギング、クリップボード キャプチャを通じてユーザーの資格情報やその他の情報を盗みます。」
ソフォスは、IT 管理者向けに以下を推奨しています
- 疑わしい電子メールとその添付ファイルがユーザーに届く前にチェック、検出、ブロックできるインテリジェントなセキュリティ ソリューションのインストール。
- 電子メールが彼らが言うとおりであることを検証するための効果的な認証標準の作成。
不審な電子メールの警告サインを認識し、不審な電子メールに遭遇したときに何をすべきかを従業員にトレーニングします。 - メールをチェックして、自分が主張するアドレスと人物から送信されていることを確認するようユーザーに勧めます。
不明な送信者からの電子メールの添付ファイルを開いたり、リンクをクリックしたりしないようにユーザーにアドバイスします。
Sophos Intercept X エンドポイント プロテクションは、機械学習技術を使用して Agent Tesla インストーラ マルウェアと RAT、および Troj/Tesla-BE と Troj/Tesla-AW シグネチャを検出します。
詳細については、Sophos.com をご覧ください。
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。