Заметка AgentTesla угрожает компаниям по всему миру почтовой рассылкой

Темы, которые НЕ подходят по объему под префикс "Статья"
Wassup.
Вредоносная кампания по распространению похитителя информации AgentTesla стартовала в середине августа этого года. Злоумышленники, стоящие за этой кампанией,собирают информацию о компьютерах жертв, а также учетные данные для входа, что хранятся в браузерах.

Фишинговые электронные письма, отправленные с поддельных адресов электронной почты с вредоносными вложениями, рассылаются предприятиям по всей Южной Америке и Европе. На данный момент число заражённых писем близко к 26 тысячам. Кампания по рассылке началась в пятницу, 12 августа 2022 года, и была ориентирована на пользователей Испании, Португалии, Румынии и нескольких стран Южной Америки. На протяжении недели с 15 августа мы наблюдали более крупную волну атак, нацеленных на пользователей в Германии, а в конце этой же недели под раздачу попадали юзеры в Южной Америке, особенно в Аргентине. На этой неделе небольшая волна нацелена на пользователей из Швейцарии.

Цепочка заражений

Электронное письмо отправляется с действительного адреса электронной почты, принадлежащего потребителям и предприятиям. Злоумышленники, скорее всего, подделывают адреса электронной почты. Получателями этих электронных писем, по большей части, являются предприятия, адреса электронной почты которых доступны в Интернете. Avast защитил от этих электронных писем самые разные предприятия в Европе и Южной Америке, в том числе школы, магазины товаров для дома, компании по производству этикеток, а также компанию по продаже яхт.

Электронные письма пусты, за исключением строки текста с надписью «Скачайте Outlook для Android». Они локализованы в зависимости от того, где находится получатель. Например, жертвы с адресом электронной почты .de получают электронное письмо на немецком языке, отправленное с поддельного адреса электронной почты .de. Тема электронного письма и вложение называются «Проект договора» на разных языках в зависимости от того, кому отправляется электронное письмо. Расширение вложения — .IMG или .ISO.

1.png

Пример поддельного письма

Прикрепленный файл на самом деле является файлом образа диска, но содержит дополнительный скомпилированный формат HTML (chm) с тем же названием «Проект договора». После его открытия появляется окно (см. ниже), и вроде бы больше ничего не происходит. Однако в фоновом режиме запускается ряд действий, которые приводят к заражению.


2.png

Файл «Проект договора», составленный в формате HTML

Кроме того, файл содержит запутанную часть JavaScript. Этот JavaScript запускает команду PowerShell, показанную ниже. Эта команда загружает финальную полезную нагрузку.

3.png

Загрузчик Powershell

В фоновом режиме конечная полезная нагрузка загружается с, казалось бы, легального сайта и маскируется под запрос изображения JPG. Вероятно, это делается в обход брандмауэров, систем обнаружения вторжений и аналитиков вредоносных программ. Однако загруженные данные представляют собой не изображение в формате JPG, а сценарий PowerShell, который сбрасывает и запускает вредоносное ПО AgentTesla.

AgentTesla — это шпионское ПО, усовершенствованный троян удаленного доступа (RAT). Итак, некоторые его способности:

  • кража паролей из браузеров, почтовых клиентов, VPN-клиентов, FTP-клиентов, буферов обмена
  • кража паролей с помощью нажатия клавиш пользователем при вводе учетных данных на веб-сайте
  • способен делать снимки экрана
  • кража информации с компьютера пользователя
  • загрузка большего количества вредоносных программ

Злоумышленники, стоящие за этой конкретной кампанией, извлекают учетные данные, хранящиеся в таких приложениях, как браузеры и почтовые клиенты, и собирают информацию о компьютерах жертв, такую как имя пользователя, имя компьютера, ОС, ЦП и ОЗУ. В данном случае AgentTesla маскируется под внедренный код в исполняемый файл InstallUtil.exe. Сразу после запуска AgentTesla собирает основные данные о компьютере, сохраняет учетные данные, хранящиеся в приложениях, и отправляет их на FTP-сервер, находящийся под контролем злоумышленника.

Цепочка заражения показана на изображении ниже. Учетные данные на FTP-сервер отправляются в виде простого текста, что позволяет нам получить доступ к серверу C2. Все полученные в итоге данные со всей кампании собираются на FTP-сервере. На сервере находится большое количество различных файлов, содержащих информацию о компьютерах жертв и украденных учетных данных. Эти файлы загружаются с сервера и удаляются "фишером" примерно ежечасно.

4.png

Обзор цепочки заражения

5.png

Украденные данные хранятся на FTP-сервере

Влияние

Кампания началась в пятницу, 12 августа 2022 года, и распространилась в странах Южной Америки, Испании, Португалии и Румынии. В меньшей степени также в Италии и Франции. Avast заблокировал примерно 2500 попыток атаки в этой первой волне. Во вторник, 16 числа, в течение двух дней массовая волна была нацелена на немецких пользователей. За это время они защитили около 10 000 пользователей. В четверг, уже 18-го, кампания вернулась к нацеливанию на пользователей в Аргентине. Эта волна была короткой, всего несколько часов, но за это время удалось обезопасить около 2000 пользователей. Последняя волна, которую Avast наблюдал перед публикацией этих данных, была нацелена на пользователей в Швейцарии. Волна длилась всего лишь утро 23 числа того же месяца.

6.png

Количество защищенных пользователей в час (статистика)

Как пользователи могут защитить себя

Этот тип кампании широко распространен и , и именно это делает ее опасной. Лучшая защита — осторожность. Одним из распространенных признаков, которые проявляются в этих письмах, это добавление расширения ожидаемого формата файла. Очень часто мы видим вложения, оканчивающиеся на i.n, например, pdf.exe или docx.exe. Подобные вложения почти наверняка являются вредоносными программами, поскольку являются исполняемыми файлами, но предназначены они для того, чтобы у жертвы сложилось впечатление, что это документ, поскольку они содержат в своем имени pdf или docx.

Avast рекомендует всем, кто получает эти электронные письма, незамедлительно удалить их. Если у вас есть сомнения относительно того, является ли сообщение, которое они получают, реальным или поддельным, не нажимайте на какие-либо ссылки или вложения. Вместо этого обратитесь напрямую к компании, от которой исходит сообщение, посетив ее веб-сайт и используя контактную информацию, указанную на сайте.

Индикаторы компрометации (IoC)

Хэши SHA256

Приложение ИСО:
83fe51953a0fe44389e197244faf90afe8ee80101dc33cb294cf6ef710e5aaba

Скрипт загрузчика AgentTesla:
76f707afa3d4b2678aa5af270ea9325de6f8fdc4badf7249418e785438f1b8da

Инжектор AgentTesla:
eb455ffb1595d1a06fc850ebc49b270ae84dd609e7b52144a60bb45cf4c4eb0e

Инфраструктура

FTP-сервер эксфильтрации:
ftp.akmokykla[.]lt

Серверы загрузки AgentTesla:
assltextile[.]com/Su34M.jpg
consult-mob[.]ro/M777.jpg
handcosalon[.]com/Su57.jpg


 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!