AhnLab Security (ASEC) обнаружил, что AgentTesla распространяется по электронной почте в виде вредоносного BAT-файла. При выполнении BAT-файла используется бесфайловый метод запуска AgentTesla (EXE) без создания файла на ПК пользователя.
Тело спамерского письма, распространяющего вредоносную программу AgentTesla, обманывает получателей, указывая в теме письма, что оно отправлено с альтернативного почтового ящика, а затем предлагает им выполнить вредоносный файл (.BAT). Вложенный zip-файл содержит файл пакетного сценария (.BAT). Файл BAT представляет собой тип файла сценария, который при выполнении запускается Windows-приложением cmd.exe.
При выполнении BAT-файл копирует себя с помощью команды xcopy. Кроме того, он маскирует обычный файл powershell.exe с расширением png и копирует его.
После этого он выполняет команды PowerShell через powershell.exe (Lynfe.png), который был замаскирован расширением png.
Команды PowerShell декодируют (gzip, reverse) данные, закодированные в файле BAT, создают полезную нагрузку DLL и загружают ее в процесс PowerShell. Загруженная DLL исполняет декодированный шелл-код, который, в свою очередь, выполняет дополнительные процедуры декодирования и в конечном итоге запускает в памяти вредоносную программу AgentTesla.
Indicators of Compromise
MD5
- 6d9821bc1ca643a6f75057a97975db0e