Agent Tesla phishing kampanja

AUTOR · Published · Updated

Agent Tesla phishing kampanja je uočena od strane kompanije Trustwave SpiderLabs. Uočena phishing kampanja je počela 8. marta 2024. godine u kojoj se poruka maskira kao obavještenje kao bankarskom plaćanju navodeći korisnika da otvori zlonamjerni prilog u arhivi.

Agent Tesla

Agent Tesla phishing kampanja; Source: Bing Image Creator

AGENT TESLA

Kampanja Agent Tesla se prvi put pojavila 2014. godine i do danas je jedna od najopasnijih i najefikasnijih phishing prevara korisnika preko elektronske pošte. Glavni cilj ove kampanje je da dobije pristup osjetljivim informacijama na kompromitovanim Windows uređajima preko zlonamjernog softvera za praćenje korisničkog unosa (eng. keylogger) za dobijanje pristupa  korisničkim imenima, lozinkama i drugim važnim podacima.

Najnovija verzija kampanje Agent Tesla distribuira zlonamjerni softver kroz niz phishing elektronskih poruka koje se maskiraju kao legitimne poslovne poruke koje traže od primaoca da preuzme dokument koji izgleda zvanično.

 

FUNKCIONISANJE

Kampanja započinje sa phishing elektronskom poštom koja se predstavlja kao obavještenje o bankovnom plaćanju dizajnirano da prevari korisnika. Unutar elektronske pošte skriven je prilog koji se maskira kao legitimna priznanica o uplati iz banke, ali zapravo sadrži zlonamjerni učitavač prikriven unutar tar.gz arhive. Ova taktika se obično koristi u phishing napadima kako bi se primaoci naveli da nesvjesno aktiviraju zlonamjerni softver i pokrenu zlonamjerne aktivnosti.

 

Zlonamjerni učitavač

Učitavač koristi zamagljivanje da bi izbjegao otkrivanje i koristi polimorfno ponašanje složenim metodama dešifrovanja. On se pokazao sposobnost zaobiđe antivirusnu odbranu i izvrši preuzimanje korisnog tereta koristeći specifične internet adrese i korisničke agente koji koriste proxy servere za dalje prikrivanje saobraćaja. Korisni teret je ustvari kradljivac podataka Agent Tesla koji se u potpunosti izvršava u memoriji i eksfiltrira ukradene podatke preko SMTP protokola koristeći kompromitovane naloge elektronske pošte.

Izvršna datoteka zlonamjernog učitavača je kompajlirana u .NET programskom okruženju. Nakon izvršavanja, učitavač pokreće svoju konfiguraciju tako što čuva šifrovane nizove i ključeve za dešifrovanje u zasebnim listama unutar svog kôda. Dešifrovanje počinje identifikacijom indeksa šifrovanog niza i podudaranjem sa određenim ključem na drugoj listi. Ovo podudaranje zasnovano na indeksu je ključni korak u dešifrovanju podataka o konfiguraciji koji su potrebni za rad zlonamjernog softvera.

Polimorfno ponašanje učitavača je posebno intrigantno i uvodi dodatni sloj složenosti, što predstavlja značajne izazove za tradicionalne antivirusne sisteme. Ono se ogleda kroz dvije različite varijante od kojih svaka koristi različitu rutinu dešifrovanja.

 

Izbjegavanje detekcije

Pre pokretanja procesa preuzimanja korisnog tereta i procesa učitavanja, učitavač priprema ciljni sistem. Ova priprema uključuje zaobilaženje interfejsa za skeniranje protiv zlonamjernog softvera  (eng. Antimalware Scan Interface – AMSI) zlonamjernim ažuriranjem funkcije AmsiScanBuffer da bi se izbjeglo skeniranje sadržaja u memoriji zlonamjernog softvera.

 

Preuzimanje korisnog tereta

Nakon zaobilaženja AMSI funkcije učitavač priprema memorijski prostor za ulazni korisni teret. Jedna varijanta koristi HTTP proxy server sa liste otvorenog koda na GitHub platformi da bi se olakšalo preuzimanje korisnog tereta. Ovaj pristup stvara brojne mrežne pakete i značajnu buku, što potencijalno komplikuje analizu mrežnog saobraćaja i napore otkrivanja.

Nakon preuzimanja, korisni teret se ne izvršava odmah. Umjesto toga, učitavač identifikuje i izdvaja korisni teret iz HTML sadržaja. Ovaj segment operacije naglašava prikriveni pristup učitavača u rukovanju korisnim teretom, osiguravajući da zlonamjerni kôd ostane neotkriven u saobraćaju koji izgleda normalno. Nakon ekstrakcije, korisni teret se učitava u memoriju.

Učitavač dešifruje korisni teret sa ključem za dešifrovanje ugrađenim u sam učitavač. Jednom kada je korisni teret dekodiran i uskladišten u memoriji, učitavač locira i poziva glavnu ulaznu tačku korisnog tereta, pokrećući u rad Agent Tesla kradljivca podatka. Proces učitavanja i izvršavanja odvija se isključivo unutar memorijskog prostora sistema, umanjujući mogućnost otkrivanje i ne ostavljajući trag na disku, čime se povećava prikrivenost i izbjegavanje otkrivanja zlonamjerne aktivnosti.

 

Kradljivac podataka

Agent Tesla se u potpunosti izvršava u memoriji, obavljajući zlonamjerne aktivnosti kao što su evidentiranje pritiska na tastere, krađa akreditiva i eksfiltracija podataka. Upotrebom alatke za pakovanje baziranoj na virtuelizaciji koja transformiše .NET CIL kôd u virtuelne instrukcije, koje virtualna mašina tumači u toku rada, što komplikuje i statičku i dinamičku analizu.

Nakon što prikupi informacije kao što su korisnička imena i lozinke iz internet pregledača, Agent Tesla eksfiltrira ove podatke koristeći Simple Mail Transfer Protocol – SMTP, metod koji se obično koristi za slanje elektronske pošte. Zlonamjerni akter često preuzimaju kompromitovane naloge elektronske pošte da bi izvršili proces eksfiltracije podatka, što im donosi nekoliko prednosti.

Na ovaj način napadači iskorištavaju povjerenje ljudi u redovnu komunikaciju putem elektronske pošte, čineći manje vjerovatnim da će izazvati sumnju. Pored toga, oni na ovaj način obezbjeđuju anonimnost i otežavaju praćenje napada. Na kraju korištenje postojećih sistema elektronske pošte znači da ne moraju da postavljaju nove kanale komunikacije, što im štedi vreme i resurse.

 

ZAKLJUČAK

Novi učitavač u kombinaciji sa Agent Tesla zlonamjernim softverom uz upotrebu obmanjujućih priloga elektronske pošte pokušava da se infiltriranje u sisteme korištenjem tehnike zamagljivanja i pakovanja da bi prikrio svoju funkcionalnost i izbjegao otkrivanje. Polimorfno ponašanje učitavača u različitim rutinama dešifrovanja i primjena zlonamjernog ažuriranja su neke od metoda koje koristi da bi se zaobišlo detekcija i omogućilo dinamičko učitavanje korisnog tereta uz prikriveno izvršavanje i minimum tragova na disku.

Primijenjeni učitavač je pokazao značajnu evoluciju u taktici primjene Agent Tesla. Uzimajući njegovu svestranost u obzir, ovaj učitavač bi se mogao u budućnosti koristiti za isporuku i drugih vrsta zlonamjernog softvera.

 

ZAŠTITA

Neki načini zaštite od Agent Tesla zlonamjernog softvera i ublažavanja uticaja infekcija uređaja su:

  • Podesiti klijente elektronske pošte da obavještavaju korisnike kada poruke elektronske pošte dolaze izvan organizacije. Takođe, biti oprezan sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
  • Edukacija korisnika o rizicima koji se odnose na mrežu, uređaje i infrastrukturu poslovne organizacije mogu značajno pomoći u prevenciji napada, jer ljudski faktor ostaje jedna od najvećih ranjivosti u sajber bezbjednosti. Redovne obuke korisnika mogu pomoći u identifikaciji i prijavi sajber napada,
  • Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica,
  • Korištenje sveobuhvatnih bezbjednosnih riješenja kao što su softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) ili softver za prošireno otkrivanje i odgovor (eng. Extended detection and response – XDR). To su rješenja koja mogu upozoriti korisnike sistema na potencijalne napade i spriječiti dalji napredak zlonamjernog softvera prije nego što dođe do značajnije štete,
  • Redovno ažuriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver može da iskoristi.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.