Обнаружен новый вариант Agent Tesla, использующий архив ZPAQ и расширение файла .wav для заражения систем и кражи информации из примерно 40 веб-браузеров и различных почтовых клиентов. ZPAQ - это формат сжатия файлов, который обеспечивает лучшую степень сжатия и функцию журналирования по сравнению с такими широко распространенными форматами, как ZIP и RAR.
Однако ZPAQ имеет ограниченную программную поддержку, что затрудняет работу с ним, особенно для пользователей, не обладающих техническими знаниями. Исполняемый файл .NET раздувается до нуля байт, что позволяет атакующим обойти традиционные меры безопасности и повысить эффективность своей атаки.
Использование формата сжатия ZPAQ вызывает больше вопросов, чем ответов. Здесь можно предположить, что либо атакующие нацелены на определенную группу людей, обладающих техническими знаниями, либо используют менее известные архивные инструменты, либо тестируют другие методы, позволяющие быстрее распространять вредоносные программы и обходить защитное ПО.
Вредоносная программа использует Telegram в качестве C&C благодаря его широкому легальному распространению и тому, что его трафик часто пропускается через межсетевые экраны, что делает его удобным средством скрытой коммуникации. Как и любой другой похититель, Agent Tesla может нанести вред не только частным лицам, но и организациям. Он завоевал популярность среди киберпреступников по многим причинам, включая простоту использования, универсальность и доступность в "темной паутине".
Indicators of Compromise
SHA256
- 1c33eef0d22dc54bb2a41af485070612cd4579529e31b63be2141c4be9183eb6
- 45dc4518fbf43bf4611446159f72cdbc37641707bb924bd2a52644a3af5bab76
- c2c466e178b39577912c9ce989cf8a975c574d5febe15ae11a91bbb985ca8d2e