Вредоносная кампания, распространяющая похитителя информации AgentTesla, начала распространяться в середине августа. Злодеи, стоящие за этой кампанией, стремятся получить информацию о компьютерах жертв и учетные данные, хранящиеся в браузерах.
AgentTesla Spyware
Фишинговые электронные письма, отправленные с поддельных адресов электронной почты, с вредоносным вложением рассылаются предприятиям по всей Южной Америке и Европе. На данный момент было отправлено более 26 000 писем. Кампания началась в пятницу, 12 августа 2022 года, и была направлена на пользователей в Испании, Португалии, Румынии и нескольких странах Южной Америки. На неделе 15 августа 2022 года мы наблюдали более крупную волну атак, направленных на пользователей в Германии, а в конце недели - снова в Южной Америке, в частности, в Аргентине. На этой неделе небольшая волна атак была направлена на пользователей в Швейцарии.
Электронное письмо отправляется с действительного адреса электронной почты, принадлежащего потребителям и предприятиям. Злодеи, скорее всего, подделывают адреса электронной почты. Получателями таких электронных писем в большинстве случаев являются предприятия, чьи адреса электронной почты доступны в Интернете. Мы защитили от этих писем самые разные компании в Европе и Южной Америке, включая школы, магазины мебели для дома, компании по производству этикеток, а также компанию по продаже яхт.
Письма не содержат никакой информации, за исключением строки с текстом "Get Outlook for Android". Они локализованы в зависимости от местонахождения получателя. Например, жертвы с адресом электронной почты .de получают письмо на немецком языке, отправленное с поддельного адреса электронной почты .de. Тема письма и вложение называются "Проект договора" на разных языках в зависимости от того, кому отправлено письмо. Расширение имени вложения - .IMG или .ISO.
Приложенный файл на самом деле является файлом образа диска, но он содержит дополнительный скомпилированный HTML-формат (chm) с тем же названием, "Проект договора". После его открытия появляется окно (см. ниже), и, казалось бы, больше ничего не происходит. Однако в фоновом режиме запускается ряд действий, которые приводят к заражению.
Кроме того, файл содержит обфусцированную часть JavaScript. Этот JavaScript запускает команду PowerShell, показанную ниже. Эта команда загружает конечную полезную нагрузку.
На заднем плане конечная полезная нагрузка загружается с вроде бы легитимного сайта и маскируется под запрос изображения в формате JPG. Вероятно, это делается для того, чтобы обойти брандмауэры, системы обнаружения вторжений и аналитиков вредоносного ПО. Однако загруженные данные - это не JPG-изображение, а сценарий PowerShell, который запускает вредоносную программу AgentTesla.
AgentTesla - это шпионское ПО, способное:
- красть пароли из браузеров, почтовых клиентов, VPN-клиентов, FTP-клиентов, буферов обмена данными
- красть пароли через нажатия клавиш, сделанные пользователем при вводе учетных данных на веб-сайте
- снятие скриншотов
- кража информации о компьютере пользователя
- загрузка дополнительных вредоносных программ
Злодеи, стоящие за этой конкретной кампанией, перехватывают учетные данные, хранящиеся в таких приложениях, как браузеры и почтовые клиенты, и собирают информацию о компьютерах жертв, такую как имя пользователя, имя компьютера, ОС, процессор и оперативная память. В данном случае AgentTesla маскируется под инжектированный код в исполняемом файле InstallUtil.exe. Сразу после выполнения AgentTesla собирает основные данные о компьютере, сохраняет учетные данные, хранящиеся в приложениях, и отправляет их на FTP-сервер под контролем злоумышленника.
Учетные данные на FTP-сервер отправляются открытым текстом, что позволяет нам получить доступ к серверу C2. На FTP-сервере собирается вся информация обо всей кампании. На сервере содержится большое количество различных файлов, содержащих информацию о компьютерах жертв и украденных учетных данных. Эти файлы загружаются с сервера и удаляются злоумышленником примерно ежечасно.
AgentTesla Spyware IOCs
Indicators of Compromise
Domains
- ftp.akmokykla.lt
URLs
- assltextile.com/Su34M.jpg
- consult-mob.ro/M777.jpg
- handcosalon.com/Su57.jpg
MD5
- 540594cb9d666f26237e6c346a875e1a
- 6664317aae5097b03ee282210c3d32b8
- c3dbb827394bed4ea054a4c50eedc161
SHA1
- 683c33b67d5f09add96a60a3dd998769309edb99
- 7e3f9c2f1ebc383fd7e057e6fa32f5cdc74502d5
- f3f77f07de43e480a983448c61e53a160c1b6ada
SHA256
- 76f707afa3d4b2678aa5af270ea9325de6f8fdc4badf7249418e785438f1b8da
- 83fe51953a0fe44389e197244faf90afe8ee80101dc33cb294cf6ef710e5aaba
- eb455ffb1595d1a06fc850ebc49b270ae84dd609e7b52144a60bb45cf4c4eb0e