Agent Tesla - это программа-шпион, которая собирает информацию о действиях своих жертв путем записи нажатий клавиш и взаимодействия с пользователем. На специализированном сайте, где продается эта вредоносная программа, она выдается за легитимное программное обеспечение.
Что такое вредоносная программа Agent Tesla?
Agent Tesla - это шпионская программа для кражи паролей, существующая с 2014 года. Вредоносная программа может использоваться злоумышленниками для слежки за жертвами, позволяя им видеть все, что было набрано в поддерживаемых программах и веб-браузерах.
Рекламируемый и продаваемый на собственном сайте, который ложно утверждает, что программа является легитимным кейлоггером, созданным для личного пользования, вирус Agent Tesla стал чрезвычайно популярен в хакерском сообществе. Не в последнюю очередь благодаря простоте использования и технической поддержке, доступной на "официальном" сайте, где злоумышленники продают эту вредоносную программу, а также на выделенном сервере Discord. Несмотря на заявления о легальности программы, сотрудники службы поддержки дают советы по нелегальному использованию вируса. Предполагается, что шпионская программа Agent Tesla была создана в Турции.
Общее описание Agent Tesla
Шпионская программа создана с использованием программного фреймворка .Net. Ее цель - кража персональных данных и передача их обратно на сервер C2. Вредоносная программа способна получать доступ к информации из веб-браузеров, почтовых клиентов и FTP-серверов.
Кроме того, Agent Tesla может захватывать скриншоты и видео. Она также может записывать информацию из буфера обмена и значения форм. Вирус распространялся на сайте agenttesla-dot-com, где злоумышленники могли приобрести его всего за 15 долларов. Однако в зависимости от запрашиваемых опций цена пакета могла достигать примерно 70 долларов.
Уникально то, что создатели вредоносной программы создали вокруг нее своего рода экосистему, предоставляя круглосуточную поддержку клиентов, а также заранее подобранные планы покупки, включающие различные опции, рассчитанные на разные бюджеты и цели. Вирус поставляется с выделенным конструктором, который имеет простую в использовании панель управления. Это позволяет даже не слишком технически подкованному злоумышленнику упаковать полезную нагрузку во вредоносный документ. Более того, после 2015 года панель управления Agent Tesla была дополнена обширной функциональностью автоматизации, позволяющей злоумышленнику автоматически делать снимки или удаленно активировать веб-камеру на ПК жертвы через заданные интервалы времени.
По результатам анализа, вредоносная программа оснащена несколькими механизмами сохранения, которые помогают ей избегать обнаружения антивирусами. Она может автоматически возобновлять работу после перезагрузки системы. Она также способна отключать процессы Windows, чтобы оставаться скрытой.
Как избежать заражения Agent Tesla?
Вредоносное ПО Agent Tesla нелегко распознать. Самый надежный способ обезопасить себя - проявлять осторожность при открытии подозрительных писем или переходе по неизвестным ссылкам. Прежде всего, следует с осторожностью загружать вложения в письмах от неизвестных отправителей и стараться распознавать мошенников.
Распространение Agent Tesla
Вредоносная программа широко распространяется через спам-кампании электронной почты, такие как Vidar или IcedID. Обычно она доставляется жертвам во вредоносных документах или по вредоносным веб-ссылкам. При переходе по такой ссылке на компьютер жертвы автоматически загружается зараженный документ.
При открытии документа происходит загрузка самого вируса. Шпионская программа сохраняет себя в папке "%temp%" и затем автоматически запускается. Кампании электронной почты обычно направлены на людей, работающих в различных отраслях. Темы вредоносных писем могут быть самыми разнообразными.
Процесс выполнения Agent Tesla
Agent Tesla keylogger чаще всего распространяется через документы Microsoft Word, содержащие встроенный исполняемый файл или эксплойт. После нажатия на кнопку мыши загружается и переименовывается исполняемый файл. Загруженный файл запускается сам и создает дочерний процесс, который, в свою очередь, может создать еще один дочерний процесс.
Вредоносная программа способна использовать Regsvcs и Regasm для проксирования выполнения кода через доверенную утилиту Windows. Специалисты по исследованию и анализу угроз могут обратить внимание на то, что в приведенном примере процесс RegSvcs.exe похищает персональные данные.
Поскольку основной целью Agent Tesla RAT является кража личной информации, вы можете идентифицировать его по поведенческой активности. Для этого попробуйте проанализировать индикаторы вредоносного процесса (чаще всего это внедренный "RegAsm.exe"). Если в разделе "Детали процесса" присутствует индикатор "Действия выглядят как кража персональных данных", то, скорее всего, вы имеете дело с трояном Agent Tesla. Также вы можете определить, какую информацию украла вредоносная программа, нажав на индикатор. Вы можете перемещаться, нажимая на стрелки вправо и влево в появившемся окне.
Заключение
По данным разведки угроз, с момента своего создания троян Agent Tesla использовали более 6300 клиентов. К сожалению, популярность вируса только продолжает расти. Тенденция к росту, конечно, поддерживается простотой использования, которая позволяет организовывать атаки даже начинающим злоумышленникам.
Немалую роль играет и сервис, предоставляемый создателями вируса. Опасность Agent Tesla для команд реагирования на инциденты и разведки угроз заключается не только в том, что им может воспользоваться практически любой, но и в том, что он способен открыть двери для более разрушительных вирусов.