Центр управления компьютерной безопасностью приставленный к Агентству для положительной межведомственной информационной безопасности (CERT-AGID) в Италии обнаружил вредоносную кампанию, которая использует электронную почту для распространения.
AgentTesla Stealer
Однако вложение в этих электронных письмах не активирует цепочку компрометации. Причиной этого оказалась отсутствующая строка 'FjDyD6U', которая является необходимым элементом для правильного создания нового исполняемого файла. Хотя несколько песочниц онлайн-защиты классифицировали это вложение как вредоносное, оно не генерирует сетевой трафик, и ни одна песочница не смогла идентифицировать его подлинность.
Авторы атаки пересмотрели свою стратегию и повторно провели атаку с исправленным вредоносным ПО, которое уже работало корректно. Анализ образца файла показал, что это файл .NET, зашифрованный с помощью AES. Ключ и вектор инициализации для расшифровки кода были извлечены из последовательных байтов, разделенных разделителем "X8mnGBm". Используя Cyberchef, удалось успешно расшифровать строки и получить исполняемый файл, который загружается прямо в память без оставления следов на диске.
Изученный двоичный файл оказался вредоносной программой, известной как AgentTesla, которая является одной из самых распространенных программ-инфопохитителей в Италии уже более двух лет. AgentTesla часто изменяет загрузчики, и хотя обычно использует код, хранящийся в ресурсах, на этот раз был обнаружен новый метод, который использует передовые техники шифрования для загрузки полезной нагрузки прямо в память, что затрудняет ее обнаружение и анализ.
Это событие подчеркивает то, что злоумышленники могут допускать ошибки при разработке и распространении вредоносного ПО. Они могут использовать различные инструменты, такие как MaaS, для создания и распространения своих программ, но иногда не могут правильно интегрировать их или допускают недочеты, которые могут привести к неактивации вредоносных функций. Поэтому важно для организаций и индивидуалов принимать меры по защите от вредоносного ПО, включая использование антивирусных программ и брандмауэров, а также обновление программного обеспечения и обучение сотрудников по правилам кибербезопасности.
Indicators of Compromise
Domains
- mail.iaa-airferight.com
MD5
- 0736a06129c779dc95998a5fe63f5c6e
- 2ac7cdf0e3542d5a04f6da31f33b0224
- 6e338380a67947db6d2fdd2aa20345c3
SHA1
- 61bcc1e7aa5bddb0e1aafdfc301f89d2d6d6b8b8
- c44e4fbb7958173e0255fcb9ad221f5898dcacce
- f2c0f5b585630913ef20f4a3ddfdfce53cb8f954
SHA256
- 029d9a1536b406f7165c37c6584a3a75424ac313af409d2834e8bbaf84df3d9e
- 920e72d0fc07a2a463de347234d4264b10d99acc24cc801badc734fa2ef53c12
- c4a7e79b8351448b850acf95ac838241be617a6ad3202d81d4353d409f565e45
