За фишинговым вложением оказался многоступенчатый инфостилер Agent Tesla

Stealer

Обычное письмо с уведомлением о платеже, которое приходит на рабочую или личную почту, может стать началом долгой и скрытой атаки. Именно такую кампанию недавно задокументировали специалисты по информационной безопасности. Злоумышленники использовали фишинг, замаскированный под банковскую квитанцию, чтобы доставить на компьютер жертвы вредоносную программу Agent Tesla (инфостилер, специализирующийся на краже учётных данных, логов клавиатуры и файлов). Атака интересна не столько новизной, сколько продуманной архитектурой: каждый этап выполнен так, чтобы обойти типовые средства защиты и оставаться незамеченным как можно дольше.

Описание

Всё началось с электронного письма, которое выглядело как надёжный документ от банка HSBC. В письме содержался файл с названием HSBC_PAYMENT_RECEIPT09837.bat. Пользователь, поверив в срочность, открыл вложение. На этом этапе сработала социальная инженерия - бат-файл был назван так, чтобы вызвать доверие. Однако внутри скрывался тяжело обфусцированный сценарий: бессмысленные имена переменных, динамическое конструирование команд через подстановку символов. После запуска он активировал скрытый сеанс PowerShell (командная оболочка Windows) в минимизированном окне. Эта команда скачала с удалённого сервера (pastee.dev) дополнительный код и выполнила его прямо в памяти, не записывая на диск.

Загруженный PowerShell-скрипт оказался загрузчиком шеллкода (набор команд, выполняемых после проникновения). Он декодировал встроенную полезную нагрузку, зашифрованную с помощью алгоритма XOR, и, используя системные функции, выделял исполняемую память. Вся работа велась без создания файлов - это классический пример fileless-атаки, когда вредоносный код существует только в оперативной памяти. Таким образом антивирусы, проверяющие только файловую систему, не могли обнаружить угрозу.

Дальнейший анализ показал, что извлечённый из памяти объект являлся дроппером (программа, доставляющая другие вредоносные компоненты). Он сбросил на диск три файла во временную папку и один пакетный файл в автозагрузку Windows. Последний обеспечивал сохранение активности после перезагрузки компьютера. Среди этих файлов оказались: ljers.exe (на самом деле легитимный интерпретатор AutoIt3), hunuhq (обфусцированный скрипт AutoIt) и hwqmahcxyblg (зашифрованный XOR-ключом файл полезной нагрузки). Скрипт AutoIt выполнял типичную для многих вредоносных программ операцию - инъекцию кода в чужой процесс.

В качестве цели был выбран легитимный системный процесс charmap.exe (таблица символов Windows). AutoIt-скрипт запускал этот процесс скрытно, а затем с помощью системных вызовов OpenProcess, VirtualAllocEx, WriteProcessMemory и CreateRemoteThread выделял память, копировал туда расшифрованную полезную нагрузку и запускал её выполнение внутри процесса charmap.exe. Таким образом вредоносный код исполнялся под видом доверенной программы, что серьёзно затрудняло обнаружение. При проверке с помощью утилиты PE-Sieve было выявлено, что в charmap.exe присутствуют изменённые модули clr.dll и amsi.dll. Изменение amsi.dll свидетельствует о попытке обойти антивирусный интерфейс AMSI, а clr.dll указывает на выполнение управляемого .NET-кода внутри процесса.

После внедрения запускалась основная часть Agent Tesla - .NET-сборка, содержащая все функции кражи данных. Код позволял перехватывать нажатия клавиш (кейлоггинг) с помощью функций GetForegroundWindow, GetWindowText, GetKeyboardState. Записанные символы сохранялись во временный файл log.tmp. Также реализовано создание скриншотов: программа каждую секунду делала снимки экрана и сохраняла их в формате .jpg с меткой времени. Кроме того, вредонос умел читать буфер обмена.

Наибольший интерес представляет модуль кражи учётных данных. Agent Tesla нацелен на все популярные браузеры на основе Chromium: Google Chrome, Brave, Opera, Vivaldi, Microsoft Edge Chromium, Яндекс.Браузер и другие. Он извлекает сохранённые пароли, куки и токены сессий. Отдельно обрабатываются браузеры Mozilla Firefox, Thunderbird, Waterfox, Pale Moon и SeaMonkey. Помимо браузеров, злоумышленники собирают данные из хранилища Windows Vault, где Internet Explorer и старая версия Edge хранили пароли.

Собранные сведения - логи клавиатуры, скриншоты, файлы паролей - передавались на сервер злоумышленника. В ходе анализа выяснилось, что для эксфильтрации данных использовался протокол SMTP (протокол передачи электронной почты). В коде были жёстко прописаны учётные данные почтового ящика на сервере mail.onionmail.org: отправитель sendboxorigin@onionmail.org, получатель originlogbox@onionmail.org, пароль sendboxorigin12. После отправки вредонос очищал временные файлы, чтобы замести следы.

Примечательно, что Agent Tesla включает механизмы защиты от анализа. Обнаружены антиотладочные проверки, тесты на запуск в виртуальной машине (VirtualBox, VMware) и в песочнице. Если программа определяла, что находится в искусственной среде, она могла прекратить работу, не раскрывая своих возможностей. Это значительно усложняет анализ в автоматических системах.

Такая многоступенчатая архитектура - от фишинга через обфусцированный бат-файл, затем PowerShell-загрузчик, AutoIt-инжектор и финальная .NET-нагрузка - показывает, как современные инфостилеры превращаются в полноценные платформы для скрытой кражи данных. Каждый этап рассчитан на обход конкретного уровня защиты: статический анализ файлов, проверку памяти, поведенческий мониторинг. В результате атака может долгое время оставаться незамеченной, а собранные данные - пароли, переписка, доступ к корпоративным системам - утекать злоумышленникам.

Организациям стоит обратить внимание на аномалии в процессе charmap.exe, на запуски AutoIt3.exe из временных папок, а также на подозрительные SMTP-соединения изнутри сети. Однако главный урок этой кампании - фишинговые письма остаются одним из самых эффективных векторов, и защита от них требует не только технических средств, но и повышения бдительности сотрудников.

Индикаторы компрометации

Emails

  • originlogbox@onionmail.org
  • sendboxorigin@onionmail.org

MD5

  • 525f26513200a27ced42bec7b5b4b2ba

Комментарии: 0