Agent Tesla - это программа-шпион, которая собирает информацию и передаетя учетные данные пользователей, сохраненные в веб-браузерах, электронной почте и FTP-клиентах.. На специализированном сайте, где продается эта вредоносная программа, она выдается за легитимное программное обеспечение.
Agent Tesla
Впервые замеченный в 2014 году, Agent Tesla скомпилирован под .NET и содержит целый ряд мощных функций для похищения информации. Программа Agent Tesla infostealer постоянно использовалась киберпреступниками в различных кампаниях, часто используя спам по электронной почте в качестве средства распространения на компьютеры жертв.
Совсем недавно вредоносная программа была модернизирована и теперь содержит функции, позволяющие ей собирать информацию о профиле WiFi пользователя - потенциально в качестве механизма распространения. Интересно, что это "обновление" последовало за аналогичным обновлением варианта вредоносной программы Emotet, получившей модуль распространения "WiFi". Похоже, это растущая тенденция среди авторов вредоносных программ.
Следующий сценарий цепочки заражения соответствует часто встречающемуся вектору заражения, когда пользователю отправляется вредоносное письмо со спамом, содержащее вложенный документ Microsoft® Office, как показано на диаграмме ниже:
Indicators of Compromise
IPv4
- 23.95.85.181
- 3.217.248.28
- 3.93.18.244
- 31.209.137.12
- 31.3.251.197
- 34.200.207.31
- 37.19.196.108
- 45.142.215.180
- 45.156.25.78
- 50.17.5.224
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Agent Tesla.
ID | Техника | CWE | Описание | Доверие |
1 | T1006 | CWE-22 | Обход имени пути | Высокий |
2 | T1055 | CWE-74 | Инъекция | Высокий |
3 | T1059 | CWE-88, CWE-94 | Межсайтовый скриптинг | Высокий |
4 | T1059.007 | CWE-79, CWE-80 | Межсайтовый скриптинг | Высокий |