AgentTesla - это инфошпион. Он сливает учетные данные пользователей, сохраненные в веб-браузерах, электронной почте и FTP-клиентах.
Хотя для утечки собранной информации он использует электронную почту (т.н. протокол SMTP), есть образцы, использующие FTP или Telegram API. Информация о C&C недавно собранных образцов выглядит следующим образом.
Поскольку большинство из них распространяются через спам-письма, замаскированные под счета-фактуры, отгрузочные документы и заказы на поставку, имена файлов содержат такие слова, как показано выше (Invoice, Shipment и P.O. - Purchase Order). Несколько собранных образцов были замаскированы под файлы с расширениями pdf и xlsx.
Agent Tesla Spyware IOCs
- Agensla (Agent Tesla) Spyware IOCs
- Agent Tesla Malware IOCs
- [GS-032] Agent Tesla Spyware IOCs
- [GS-002] Agent Tesla Spyware IOCs
- AgentTesla Spyware IOCs - Part 3
- AgentTesla Spyware IOCs - Part 2
- AgentTesla Spyware IOCs
- Agent Tesla Spyware IOCs - Part 9
Indicators of Compromise
Domains
- us2.smtp.mailhostbox.com
- mail.sseximclearing.com
- smtp.elec-qatar.com
URLs
- https://api.telegram.org/bot2134979594:AAFk4QkrlHlt2a-q-EhIoHZBbzxSH0QxiBI/sendDocument