В Италии за последнее время активизировались спам-кампании операторов AgentTesla, которые используют PDF-вложения для распространения вредоносного кода JavaScript. В письме адресату предлагается открыть вложенный документ, при открытии которого появляется ложное сообщение об ошибке, но на самом деле происходит загрузка вредоносного файла JavaScript. Он представлен как PDF-файл с двойным расширением .pdf.js, чтобы замаскировать свою опасность.
Загруженный файл содержит скрипт PowerShell, который загружает и выполняет исходный код AgentTesla. Этот код не сохраняется на диске, а исполняется непосредственно в памяти. Сценарий AgentTesla обманывает пользователей, захватывая информацию о взломанной машине и учетные данные. Эта информация затем отправляется посредством бота Telegram. Такой способ передачи данных уже использовался в других кампаниях AgentTesla.
AgentTesla играет важную роль в киберпреступных операциях, выступая в качестве начальной точки для более разрушительных атак. Краденые учетные данные и конфиденциальная информация часто продаются на темной паутине специализированными посредниками. Эти посредники, известные как брокеры первоначального доступа (IAB), предлагают доступ к взломанным системам и упрощают процесс атаки. Проданные учетные данные позволяют злоумышленникам легко проникнуть в системы, установить постоянное присутствие и в конечном итоге использовать программы-вымогатели.
AgentTesla является ключевым звеном в цепочках атак, которые приводят к серьезным нарушениям безопасности и финансовым потерям. Спам-кампании с использованием PDF-вложений и бота Telegram для передачи данных становятся все более распространенными методами распространения AgentTesla. Безопасность и активная защита от таких атак становятся все более важными для организаций и частных пользователей.
Indicators of Compromise
Domains
- hotelmain26march.blogspot.com
URLs
- https://api.telegram.org/bot6897682217
- https://api.telegram.org/bot6897682217:AAEjk1hEPt9POej77OxeA59PWSWPbKfOsp8/sendMessage
- https://bitbucket.org/!api/2.0/snippets/asdwwsxsss/
- https://bitbucket.org/!api/2.0/snippets/asdwwsxsss/y77rnp/f350cb39426036a1c0a426e85eac14b2cdf76007/files/file
- https://gateway.ipfs.io/ipfs/QmTo6dWGHyBM4aLyvBhnPepzjpbzCB8P34agNZ4p3NHbYX#x-ipfs-companion-no-redirect
MD5
- 65d0ab20ee1926fe19880f463b7d8b03
- 7965a0d9b8c3132701833f2baf85d9fd
- e7bfefd25750e249e764c8b886b3110d
SHA1
- ab3607f49938f562189d9975f8930fac7573b6bf
- ba310ad3b979a7a4d67884103dec5f4b8a54db47
- f923da674b96f080f44a035bd2b0cc28eff1be9f
SHA256
- 153d73c7a7ee5ecdadd383a3cf018ab0c43bc0bfe003061498358f286d15b949
- 66a65beef7c84d07430214b4307dab84ecec6a6858b84ee27dd6e420d6469db6
- d46f88a1534fefb712a7049129982b7b9799a416db2b53a18851e8f24f7a04f5