Эксперты по кибербезопасности получили новые данные о работе одного из самых распространенных .NET-стилеров - AgentTesla. Исследование, основанное на публичном отчете платформы Joe Sandbox, детально описывает поведение вредоносной программы без прямого контакта с образцом. Анализ выявил многоступенчатую атаку с кражей учетных данных, обходом систем защиты и скрытой эксфильтрацией данных через SMTP.
Описание
Технические детали образца
Исследуемый файл маскировался под документ "Purchase Order 4500564358.exe" (MD5: 9fd96b295c182c936d74dbb92a96a4d4). При запуске в среде Windows 10 x64 он немедленно создавал копию в директории AppData/Roaming под именем NaPhkhYtQQh.exe. Программа многократно дублировала свой процесс, что характерно для обеспечения отказоустойчивости. Ключевым этапом стало использование PowerShell для добавления исключения в Microsoft Defender, что позволяло вредоносу избегать обнаружения.
Механизмы персистентности и сбора данных
AgentTesla создавал запланированное задание через schtasks.exe с названием "Updates\NaPhkhYtQQh", обеспечивая автозапуск при перезагрузке системы. В процессе выполнения стилер демонстрировал классический набор возможностей: перехват нажатий клавиш, доступ к буферу обмена, извлечение паролей и cookies браузеров. Особое внимание уделялось системной разведке - сбору данных об учетных записях и конфигурации ОС.
Сетевая активность и эксфильтрация
Хотя образец не взаимодействовал с традиционными C2-серверами, он запрашивал геолокацию через ip-api.com. В теле программы обнаружены жестко прописанные SMTP-креденциалы (admin@uniworldrivercruises-co.uk : Money@2025) для сервера cphost14.qhoster.net (порт 587). Это подтверждает эксфильтрацию данных через почтовые протоколы - отличительную черту AgentTesla.
Практическая значимость исследования
Работа демонстрирует три важных аспекта современного анализа угроз. Во-первых, поведенческие индикаторы (аномальные процессы, команды защиты) остаются эффективными даже при отсутствии сетевых сигнатур. Во-вторых, публичные песочницы вроде Joe Sandbox позволяют изучать вредоносы без прямого риска.
Эксперты подчеркивают: маскировка под документы и использование легитимных системных утилит делают AgentTesla особо опасной для корпоративных сетей. Рекомендуется мониторить аномальную активность PowerShell и создание задач с нестандартными именами в ветке "Updates".
Индикаторы компрометации
Domains
- cphost14.qhoster.net
Domain Port Combinations
- cphost14.qhoster.net:587
Emails
- admin@uniworldrivercruises-co.uk
MD5
- 0d698af330fd17bee3bf90011d49251d
- 48c2fe20575769de916f48ef0676a965
- 60ff40cfd7fb8fe41ee4fe9ae5fe1c51
- 9fd96b295c182c936d74dbb92a96a4d4
- c32ca4acfcc635ec1ea6ed8a34df5fac
