شناسایی نسخه‌ی جدید جاسوس‌افزار Agent Tesla

به گزارش شرکت Fortinet، نسخه‌ی جدیدی از جاسوس‌افزار Agent Tesla از طریق اسناد مایکروسافت وردِ مخرب توزیع می‌شود.

در ماه ژوئن پژوهش‌گران متوجه شدند این بدافزار از طریق یک سند مایکروسافت ورد مخرب که حاوی یک ماکرو VBA اجرا‌شونده به صورت خودکار است منتشر می‌شود. پس از باز کردن این سند، از کاربر خواسته می‌شود تا قابلیت «enable content» را فعال کند، و در صورتی که کاربر این کار را انجام دهد بدافزار به صورت مخفیانه نصب می‌شود.

اسناد مخربی که در پویش اخیر مشاهده شده‌اند، به جای این‌که از قربانی بخواهند قابلیت « enable content» را فعال کنند، از آن‌ها می‌خواهند تا روی یک آیکون آبی کلیک کنند تا بتوانند به طور کامل به سند دسترسی داشته باشند. با این کار پرونده‌ی POM.exe از یک شی جاسازی‌شده که در پوشه‌ی موقت سامانه ذخیره شده است، استخراج شده و اجرا می‌شود.

پژوهش‌گر Xiaopeng Zhang از شرکت Fortinet نشان داد که پرونده‌ی اجرایی POM.exe در ویژوآل بیسیک نوشته شده است و به عنوان یک نصب‌کننده عمل می‌کند.

 

جاسوس‌افزار Agent Tesla برای جمع‌آوری داده‌های کلید‌های فشرده‌شده، حافظه‌ی کلیپ‌بورد سامانه، صفحه نمایش، و گواهی‌نامه‌های نرم‌افزارهای نصب‌شده طراحی شده است. این بدافزار برای انجام فعالیت‌های مخرب خود تهدیدات متفاوت و توابع زمان‌بندی شده‌ای را در تابع اصلی ایجاد می‌کند.

نسخه‌ی جدید این بدافزار دارای قابلیت‌های مشترکی با نسخه‌های مشاهده‌شده‌ی قبلی است، اما به جای درخواست‌های POST پروتکل HTTP از پروتکل SMTPS برای ارسال داده‌های جمع‌آوری‌شده به آدرس رایانامه‌ی مهاجم استفاده می‌کند.

این پژوهش‌گر امنیتی توضیح داد: «بر اساس تحلیل من، دستورات استفاده‌شده در روش SMTP شامل Passwords Recovered، Screen Capture، و Keystrokes می‌باشد. این دستورات در قسمت عنوان رایانامه شناسایی شده‌اند.»

مهاجم برای دریافت اطلاعات جمع‌آوری‌شده از طریق این جاسوس‌افزار، یک حساب رایانامه‌ی رایگان Zoho برای این پویش ثبت کرده است. به گفته‌ی شرکت Fortinet، این ارائه‌دهنده‌ی خدمات رایانامه از این سوء استفاده مطلع شده است.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید