SpiderLabs обнаружила фишинговое письмо от 8 марта 2024 года с вложенным архивом, содержащим исполняемый файл Windows, замаскированный под мошеннический банковский платеж. Это действие запустило цепочку заражения, завершившуюся развертыванием Agent Tesla. Загрузчик скомпилирован в .NET и использует методы обфускации и упаковки, чтобы избежать обнаружения.
Он также демонстрирует полиморфное поведение с отдельными процедурами дешифровки, что затрудняет его обнаружение традиционными антивирусными системами. Загрузчик использует такие методы, как установка патчей, чтобы обойти обнаружение интерфейса сканирования антивирусных программ (AMSI) и динамически загружать полезную нагрузку, обеспечивая незаметное выполнение и минимизируя следы на диске.
Indicators of Compromise
Domains
- artemis-rat.com
URLs
- https://artemis-rat.com/get/65eb0afe3a680a9851f23712
- https://artemis-rat.com/get/65f0e7dd5b705f429be16c65
Emails
- frevillon.acsitec@proton.me
- merve@temikan.com.tr
MD5
- 38d6ebb40197248bc9149adeec8bd0e7
- b69f65b999db695b27910689b7ed5cf0
SHA256
- 3a1fe17d53a198f64051a449c388f54002e57995b529635758248dc4da7f5080
- a02388b5c352f13334f30244e9eedac3384bc2bf475d8bc667b0ce497769cc6a
- a3645f81079b19ff60386cb244696ea56f5418ae556fba4fd0afe77cfcb29211
- ab9cd59d789e6c7841b9d28689743e700d492b5fae1606f184889cc7e6acadcc
- e3cb3a5608f9a8baf9c1da86324474739d6c33f8369cc3bb2fd8c79e919089c4
- f74e1a37a218dc6fcfabeb1435537f709d742505505a11e4757fc7417e5eb962