Фишинговая кампания использует макросы PowerPoint для удаления агента Тесла

Qbot нужно всего 30 минут, чтобы украсть ваши учетные данные, электронные письма

Новый вариант вредоносного ПО Agent Tesla был обнаружен в ходе продолжающейся фишинг-кампании, основанной на документах Microsoft PowerPoint, содержащих вредоносный код макроса.

Агент Тесла — это кража информации из .Net, которая распространяет Интернет в течение многих лет, но остается угрозой в руках фишинговых агентов.

В июне 2021 года мы сообщили об активном распространении агента Tesla в фишинговых кампаниях на тему DHL, основанных на нетипичном вложении WIM-файла.

В последней кампании исследователи Fortinet объясняют, что злоумышленники нацелены на корейских пользователей с помощью электронных писем, которые якобы содержат детали «заказа».

Поскольку вложение представляет собой файл PowerPoint, шансы убедить получателей «включить содержимое» в Microsoft Office для его правильного просмотра возрастают.

От кода VBA к PowerShell

При открытии файл не представляет никаких слайдов, а вместо этого запускает автоматически запускаемую функцию VBA, которая вызывает выполнение удаленного ресурса HTML на удаленном сайте.

После выполнения экранированного кода VBScript субъект может использовать ряд сценариев, включая PowerShell, для незаметной доставки агента Tesla.

Fortinet определила следующие сценарии и их роль:

  • VBScript-embedded-in-HTML — обновляет вредоносное ПО каждые два часа (если доступно), добавляя команду командной строки в планировщик задач.
  • Автономный файл VBS — загружает новый файл VBS в кодировке base64 и добавляет его в папку автозагрузки для сохранения.
  • Второй автономный VBS — загружает агент Tesla и создает код PowerShell.
  • Код PowerShell — выполняется для вызова новой функции ClassLibrary3.Class1.Run (), которая выполняет очистку процесса, передавая полезную нагрузку агента Tesla в памяти.

Вредоносная программа вводится в законный исполняемый файл Microsoft .NET RegAsm.exe с помощью четырех функций Windows API. Внедряя файл в RegAsm.exe, агент Tesla может работать в зараженной системе без файлов, поэтому шансы быть обнаруженными значительно снижаются.

Ориентация на ряд продуктов

В Agent Tesla есть кейлоггер, cookie браузера и программа для похищения сохраненных учетных данных, сниффер данных буфера обмена и даже инструмент для создания снимков экрана.

Злоумышленник может выбрать, какие функции включить во время компиляции полезной нагрузки, тем самым выбирая между балансом мощности и скрытности.

В общей сложности Agent Tesla может получать данные из более чем 70 приложений, самые популярные из которых перечислены ниже.

Веб-браузеры на основе Chromium:
Epic Privacy, Uran, Chedot, Comodo Dragon, Chromium, Orbitum, Cool Novo, Sputnik, Coowon, Brave, Liebao Browser, Elements Browser, Sleipnir 6, Vivaldi, 360 Browser, Torch Browser, Яндекс-браузер, QIP Surf, Amigo, Kometa, Citrio, Opera Browser, CentBrowser, 7Star, Coccoc и Iridium Browser

Веб-браузеры:
Chrome, Microsoft Edge, Firefox, Safari, IceCat, Waterfox, Tencent QQBrowser, Flock Browser, SeaMonkey, IceDragon, Falkon, UCBrowser, Cyberfox, K-Meleon, PaleMoon

VPN-клиенты:
OpenVPN, NordVPN, RealVNC, TightVNC, UltraVNC, Private Internet Access VPN

FTP-клиенты:
FileZilla, Cftp, WS_FTP, FTP-навигатор, FlashFXP, SmartFTP, WinSCP 2, CoreFTP, FTPGetter

Почтовые клиенты:
Outlook, Postbox, Thunderbird, Mailbird, eM Client, Claws-mail, Opera Mail, Foxmail, Qualcomm Eudora, IncrediMail, Pocomail, Becky! Интернет-почта, The Bat!

Загрузчик / IM-клиенты: DownloadManager, jDownloader, Psi +, Trillian

Другое:
учетные данные MySQL и Microsoft

Когда дело доходит до извлечения собранных данных, вредоносная программа предлагает четыре способа сделать это, а именно: HTTP Post, FTP-загрузка, SMTP и Telegram.

Каждый отправленный пакет имеет номер, обозначающий его тип, и существует семь типов пакетов, как подробно описано ниже:

  • Пакет «0»: это всегда первый пакет, сообщающий злоумышленнику о запуске агента Тесла. Он содержит только данные «заголовка».
  • Пакет «1»: отправляется каждые 120 секунд. Это похоже на биение сердца, когда злоумышленник сообщает, что агент Тесла жив. Он содержит только данные «заголовка».
  • Пакет «2»: он отправляется каждые 60 секунд и содержит только данные «заголовка». Агент Тесла читает ответ и проверяет, содержит ли он «удалить». Если да, он удаляет агент Tesla из системы жертвы, включая удаление всех файлов, созданных агентом Tesla, и удаление ключей из реестра, созданных агентом Tesla, и завершает процесс.
  • Пакет «3»: он отправляет нажатия клавиш жертвы (данные кейлоггера) и украденные данные буфера обмена в части сообщения «данные».
  • Пакет «4»: он отправляет захваченные скриншоты экрана жертвы в части «данные» сообщения.
  • Пакет «5»: он отправляет учетные данные, украденные у программных клиентов, в части сообщения «данные».
  • Пакет «6»: он отправляет файлы cookie в ZIP-архиве, которые собираются из браузеров и включаются в часть сообщения «данные».

Как защитить себя

Заражение агентом Тесла очень серьезное, но вы можете легко избежать их, если нежелательные электронные письма удаляются сразу после получения.

С документами PowerPoint следует обращаться с особой осторожностью, поскольку макросы VBA могут быть не менее опасными, чем их аналоги в Excel.

Таким образом, следите за защитными экранами в Интернете, обновляйте программное обеспечение, отключите макросы Microsoft Office и контролируйте свое любопытство.

Последнее обновление 14.12.2021