Специалисты Cisco Talos рассказали о вредоносной кампании, нацеленной на похищение учетных данных пользователей и другой важной информации. Зловред, атаки которого начались в январе, применяет оригинальный загрузчик, чтобы обойти антивирусную защиту и внедрить свой код в легитимный процесс на инфицированной машине. В качестве полезной нагрузки выступает хорошо известный инфостилер Agent Tesla, способный похищать учетные данные из браузеров, почтовых клиентов и FTP-приложений.

Уникальность выявленной кампании состоит в методах, применяемых злоумышленниками для обхода систем защиты. Зловред доставляется на целевое устройство при помощи спам-письма, к которому приложен архив с расширением ARJ. Использование популярного в 90-х годах упаковщика продиктовано желанием затруднить обнаружение вредоносного содержимого — киберпреступники надеются, что системы проверки электронной почты не смогут обработать устаревший формат.

Как инфостилер обходит системы защиты

Вредоносный архив содержит один исполняемый файл, который представляет собой обфусцированный Autoit-сценарий. После запуска он проверяет наличие виртуальной машины по короткому списку процессов и в случае ее отсутствия извлекает по частям и формирует полезную нагрузку. Зловред выполняет все операции в памяти устройства, не оставляя следов на жестком диске, что еще больше затрудняет его обнаружение. Код установщика содержит несколько функций, которые не используются в текущих атаках. Например, скрипт способен загружать из Интернета дополнительные файлы, а также работать с командной строкой.

На финальном этапе установки вредоносная программа декодирует шелл-код, зашифрованный при помощи потокового алгоритма RC4, и выбирает один из легитимных процессов для внедрения полезной нагрузки. В этом качестве выступает обфусцированная версия зловреда Agent Tesla, способная извлекать информацию из браузеров и другого программного обеспечения.

Инфостилер хорошо известен ИБ-специалистам — Agent Tesla не раз был замечен в ходе BEC-кампаний. В прошлом году группировка Gold Galleon использовала адресные рассылки и методы социальной инженерии, чтобы доставить зловред на компьютеры судоходных компаний. Целевые атаки с применением программ для кражи данных позволили злоумышленникам за полгода похитить около $4 млн у транспортных операторов, отличающихся низким уровнем информационной безопасности.

Категории: Вредоносные программы, Главное, Спам