Сьогодні компанія Sophos опублікувала новий звіт про зловмисне програмне забезпечення Agent Tesla: «Agent Tesla посилює атаки крадіжки інформації». У ньому фахівці з ІТ-безпеки описують, як зловмисники використовують нові методи, щоб вимкнути захист кінцевих точок перед впровадженням шкідливого програмного забезпечення в систему.
Agent Tesla — це широко використовуваний інструмент віддаленого доступу (RAT), відомий з 2014 року та використовуваний зловмисниками для крадіжки даних — тепер з’явилися нові оновлення щодо деталей атак. Творці пропонують його для продажу на темних форумах і постійно оновлюють. Кіберзлочинці зазвичай розповсюджують Agent Tesla як вкладений файл через спам.
Багатостадійність процесу проникає
Методи включають багатоетапний процес, у якому завантажувач .NET захоплює окремі фрагменти зловмисного програмного забезпечення з офіційних сторонніх веб-сайтів, таких як pastebin і hastebin, а потім збирає шматки, щоб завдати хаосу готовому шкідливому програмному забезпеченню. У той же час зловмисне програмне забезпечення намагається змінити код програмного інтерфейсу Microsoft Anti-Malware Software Interface (AMSI) — функції Windows, яка дозволяє програмам і службам інтегруватися з встановленими продуктами безпеки. Завдяки цьому кіберзлочинці вимикають захист кінцевої точки з підтримкою AMSI, дозволяючи зловмисному програмному забезпеченню завантажувати, встановлювати та запускати без будь-яких перешкод.
Звіт описує процедуру
У новому звіті Sophos детально описано дві версії Agent Tesla, які є в обігу. Обидва мають нещодавні оновлення, наприклад кількість програм, націлених на крадіжку облікових даних. Це включає, але не обмежується, веб-браузери, клієнти електронної пошти, клієнти віртуальної приватної мережі та інше програмне забезпечення, яке зберігає імена користувачів і паролі. Також є можливість записувати натискання клавіш і робити знімки екрана.
Відмінності між двома версіями показують, як зловмисники нещодавно розвинули RAT і зараз використовують численні методи ухилення від безпеки та обфускації. До них входять параметри встановлення та використання анонімного мережевого клієнта Tor, API обміну повідомленнями Telegram для командно-контрольного зв’язку (C2) і націлювання на AMSI Microsoft.
Зловмисне програмне забезпечення Agent Tesla активно працює більше семи років, але залишається однією з найпоширеніших загроз, з якими стикаються користувачі Windows. Воно входить до числа найкращих сімейств шкідливих програм, які розповсюджуються електронною поштою у 2020 році. У грудні на Agent Tesla припадало близько 20 відсотків атак зловмисної електронної пошти, перехоплених сканерами Sophos», — сказав Майкл Вейт, технологічний евангеліст Sophos. «Різноманітні зловмисники використовують зловмисне програмне забезпечення, щоб викрасти облікові дані користувача та іншу інформацію за допомогою скріншотів, журналювання клавіатури та захоплення буфера обміну».
Sophos рекомендує ІТ-адміністраторам наступне
- Встановлення інтелектуального рішення безпеки, яке перевіряє, виявляє та може блокувати підозрілі електронні листи та їх вкладення до того, як вони потраплять до користувачів.
- Створення ефективних стандартів автентифікації для перевірки того, що електронні листи відповідають дійсності.
Навчіть співробітників розпізнавати попереджувальні знаки підозрілих електронних листів і що робити, коли вони стикаються з підозрілим електронним листом. - Заохочуйте користувачів перевіряти електронні листи, щоб переконатися, що вони надійшли з тієї адреси та особи, за яких вони себе видають.
Порадьте користувачам ніколи не відкривати вкладення та не натискати посилання в електронних листах від невідомих відправників.
Захист кінцевої точки Sophos Intercept X виявляє зловмисне програмне забезпечення Agent Tesla та RAT за допомогою технології машинного навчання, а також сигнатур Troj/Tesla-BE та Troj/Tesla-AW.
Дізнайтесь більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.