AgentTesla Spyware IOCs - Part 2

Spyware IOC
Опубликовано

Вредоносная кампания, распространяющая похитителя информации AgentTesla, начала распространяться в середине августа. Злодеи, стоящие за этой кампанией, стремятся получить информацию о компьютерах жертв и учетные данные, хранящиеся в браузерах.

AgentTesla Spyware

Фишинговые электронные письма, отправленные с поддельных адресов электронной почты, с вредоносным вложением рассылаются предприятиям по всей Южной Америке и Европе. На данный момент было отправлено более 26 000 писем. Кампания началась в пятницу, 12 августа 2022 года, и была направлена на пользователей в Испании, Португалии, Румынии и нескольких странах Южной Америки. На неделе 15 августа 2022 года мы наблюдали более крупную волну атак, направленных на пользователей в Германии, а в конце недели - снова в Южной Америке, в частности, в Аргентине. На этой неделе небольшая волна атак была направлена на пользователей в Швейцарии.

Электронное письмо отправляется с действительного адреса электронной почты, принадлежащего потребителям и предприятиям. Злодеи, скорее всего, подделывают адреса электронной почты. Получателями таких электронных писем в большинстве случаев являются предприятия, чьи адреса электронной почты доступны в Интернете. Мы защитили от этих писем самые разные компании в Европе и Южной Америке, включая школы, магазины мебели для дома, компании по производству этикеток, а также компанию по продаже яхт.

Письма не содержат никакой информации, за исключением строки с текстом "Get Outlook for Android". Они локализованы в зависимости от местонахождения получателя. Например, жертвы с адресом электронной почты .de получают письмо на немецком языке, отправленное с поддельного адреса электронной почты .de. Тема письма и вложение называются "Проект договора" на разных языках в зависимости от того, кому отправлено письмо. Расширение имени вложения - .IMG или .ISO.

Приложенный файл на самом деле является файлом образа диска, но он содержит дополнительный скомпилированный HTML-формат (chm) с тем же названием, "Проект договора". После его открытия появляется окно (см. ниже), и, казалось бы, больше ничего не происходит. Однако в фоновом режиме запускается ряд действий, которые приводят к заражению.

Кроме того, файл содержит обфусцированную часть JavaScript. Этот JavaScript запускает команду PowerShell, показанную ниже. Эта команда загружает конечную полезную нагрузку.

На заднем плане конечная полезная нагрузка загружается с вроде бы легитимного сайта и маскируется под запрос изображения в формате JPG. Вероятно, это делается для того, чтобы обойти брандмауэры, системы обнаружения вторжений и аналитиков вредоносного ПО. Однако загруженные данные - это не JPG-изображение, а сценарий PowerShell, который запускает вредоносную программу AgentTesla.

AgentTesla - это шпионское ПО, способное:

  • красть пароли из браузеров, почтовых клиентов, VPN-клиентов, FTP-клиентов, буферов обмена данными
  • красть пароли через нажатия клавиш, сделанные пользователем при вводе учетных данных на веб-сайте
  • снятие скриншотов
  • кража информации о компьютере пользователя
  • загрузка дополнительных вредоносных программ

Злодеи, стоящие за этой конкретной кампанией, перехватывают учетные данные, хранящиеся в таких приложениях, как браузеры и почтовые клиенты, и собирают информацию о компьютерах жертв, такую как имя пользователя, имя компьютера, ОС, процессор и оперативная память. В данном случае AgentTesla маскируется под инжектированный код в исполняемом файле InstallUtil.exe. Сразу после выполнения AgentTesla собирает основные данные о компьютере, сохраняет учетные данные, хранящиеся в приложениях, и отправляет их на FTP-сервер под контролем злоумышленника.

Учетные данные на FTP-сервер отправляются открытым текстом, что позволяет нам получить доступ к серверу C2. На FTP-сервере собирается вся информация обо всей кампании. На сервере содержится большое количество различных файлов, содержащих информацию о компьютерах жертв и украденных учетных данных. Эти файлы загружаются с сервера и удаляются злоумышленником примерно ежечасно.

AgentTesla Spyware IOCs

Indicators of Compromise

Domains

  • ftp.akmokykla.lt

URLs

  • assltextile.com/Su34M.jpg
  • consult-mob.ro/M777.jpg
  • handcosalon.com/Su57.jpg

MD5

  • 540594cb9d666f26237e6c346a875e1a
  • 6664317aae5097b03ee282210c3d32b8
  • c3dbb827394bed4ea054a4c50eedc161

SHA1

  • 683c33b67d5f09add96a60a3dd998769309edb99
  • 7e3f9c2f1ebc383fd7e057e6fa32f5cdc74502d5
  • f3f77f07de43e480a983448c61e53a160c1b6ada

SHA256

  • 76f707afa3d4b2678aa5af270ea9325de6f8fdc4badf7249418e785438f1b8da
  • 83fe51953a0fe44389e197244faf90afe8ee80101dc33cb294cf6ef710e5aaba
  • eb455ffb1595d1a06fc850ebc49b270ae84dd609e7b52144a60bb45cf4c4eb0e
Похожие записи:
  1. Trickbot Botnet IOCs
  2. Syslogk Rootkit IOCs
  3. Backdoorit RAT IOCs
  4. AgentTesla Spyware IOCs
  5. Candiru IOCs
AgentTesla Avast
Добавить комментарий