Новая волна Agent Tesla: злоумышленники атакуют предприятия Латинской Америки через поддельные заказы на покупку

Инцидент начался с рутинного поиска угроз. Аналитики обратили внимание на подозрительный RAR-архив с именем "Orden de compra_pdf.uu" - в переводе с испанского "заказ на покупку PDF". Необычное расширение .uu было выбрано специально, чтобы обойти фильтры почтовых шлюзов, которые проверяют файлы по расширению. Внутри архива оказался JScript-файл с кодировкой Microsoft Script Encoder. Этот приём не является шифрованием в полном смысле, но эффективно скрывает содержимое от антивирусных сигнатур. При запуске скрипт сначала открывает безобидный PDF-документ, отвлекая жертву, а затем в фоне разворачивает многоступенчатую цепочку заражения.

Первая ступень - PowerShell-скрипты, которые сбрасываются во временную папку. Они запускаются с флагом обхода политики выполнения и загружают основную нагрузку - библиотеку ALTERNATE.dll. Этот загрузчик защищён мощным коммерческим обфускатором .NET Reactor версии 6.x. Инструмент не просто запутывает код, а использует виртуализацию, контроль потока выполнения и шифрование вызовов методов. Статический анализ такой библиотеки крайне затруднён: даже после частичной деобфускации файл уменьшился почти вдвое, а скрытая логика стала доступна только после применения специализированных утилит.

Ключевой технический приём - подмена процесса (process hollowing). Загрузчик ALTERNATE.dll находит на диске легитимный исполняемый файл aspnet_compiler.exe, который является частью платформы .NET Framework и редко вызывает подозрения у средств защиты. Он создаёт новый процесс в приостановленном состоянии, затем удаляет из него исходный код, выделяет память средствами VirtualAllocEx, записывает туда тело вредоносной программы с помощью WriteProcessMemory и переводит точку входа на загруженный код. После возобновления процесса Agent Tesla выполняется внутри доверенного системного компонента, не оставляя следов на диске. Это так называемое бесфайловое выполнение - один из главных вызовов для традиционных антивирусов.

Сама полезная нагрузка - Agent Tesla - хранится внутри загрузчика в зашифрованном виде. Алгоритм шифрования AES-256 с ключом и вектором инициализации, сжатие DeflateStream. Только во время выполнения, после расшифровки и распаковки, вредоносная программа загружается в память через отражение (reflection) .NET. Таким образом, на жёсткий диск не попадает ни одного вредоносного файла на этапе выполнения Agent Tesla. Подробное исследование этой кампании опубликовала компания ANY.RUN, специализирующаяся на анализе угроз в изолированной среде (песочнице). В отчёте описана полная цепочка атаки, от первого RAR-архива до экфильтрации данных.

После внедрения Agent Tesla начинает сбор учётных данных из более чем восьмидесяти приложений: браузеров (Chrome, Firefox, Edge), почтовых клиентов (Outlook, Thunderbird), FTP-клиентов, VPN-клиентов и мессенджеров. Кроме того, программа регистрирует нажатия клавиш, перехватывает содержимое буфера обмена и периодически делает снимки экрана. Все собранные данные форматируются в HTML-отчёт и отправляются на командный сервер по протоколу FTP. Важно отметить, что FTP-трафик передаётся в открытом виде - пароли и содержимое отчётов можно перехватить, если на корпоративном шлюзе настроен мониторинг исходящих соединений на порт 21.

Сервер экфильтрации - ftp.horeca-bucuresti.ro с IP-адресом 89.39.83[.]184. Этот ресурс представляет собой легитимный сайт румынской гостиничной компании, который был взломан и превращён в площадку для сбора украденных данных. Такая тактика усложняет блокировку и атрибуцию: операторы кампании могут менять серверы, а пока жертвы видят легитимный домен. Анализ показал, что по меньшей мере 80 вредоносных образцов за последние полтора года связывались с этим IP, а первые образцы датируются сентябрём 2024 года. Это говорит о том, что атака ведётся профессионалами на постоянной основе, а не является разовой операцией.

Последствия успешного внедрения Agent Tesla выходят далеко за пределы одного заражённого компьютера. Украденные учётные данные от электронной почты, VPN и FTP могут стать входной точкой для компрометации деловой переписки (Business Email Compromise). Злоумышленник, получив доступ к почте сотрудника финансового отдела, может инициировать ложные платежи или изменить реквизиты поставщика. Кроме того, скомпрометированные облачные сервисы - Microsoft 365, Google Workspace, Salesforce - открывают доступ к конфиденциальной информации клиентов и партнёров. В долгосрочной перспективе возможен сбор данных для промышленного шпионажа.

Для организаций в Латинской Америке это означает, что даже одно неосторожное открытие письма с "заказом на покупку" может привести к полной утечке паролей ко всем корпоративным системам. Кампания остаётся незамеченной уже более полутора лет. Специалисты рекомендуют обратить особое внимание на динамический анализ подозрительных вложений в изолированных средах - только так можно выявить многоступенчатые загрузчики, использующие обфускацию и подмену процессов. Также необходимо контролировать исходящий FTP-трафик: необычные соединения на порт 21, особенно с последующей передачей файлов, содержащих слово PW_ в имени, должны немедленно блокироваться и расследоваться. Финансовые и закупочные отделы - главная цель этой кампании, поэтому целенаправленное обучение сотрудников распознаванию фишинговых писем с тематикой платёжных документов является высокоэффективной инвестицией в безопасность.

IPv4

• 208.95.112.1
• 89.39.83.184

Domains

• ftp.horeca-bucuresti.ro

Emails

• americas2@horeca-bucuresti.ro

MD5

• a7eeead9c868d9944ed1c1f113328f32

SHA1

• b50b3800b17ad7ad5c4483c0b6b24d1d151a9d10

SHA256

• 7929355856a2a85d48f95d230cd74fbb5ad554bed49e73b1800136c4bcccd1a8
• 948c8c69fe02eda9231aebfa5c626335307058ac74a5c3c40b346179a1bfc982
• 96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7
• cd83f5ceb2d014badfa991106a9d37a6aeab9043d60d796ad0f16d36cdfa5703