Вредоносная программа Agent Tesla была обновлена новыми модулями для кражи учетных записей.
Исследователи безопасности обнаружили новые варианты вредоносной программы Agent Tesla, которые теперь включают в себя модули, способные красть учетные данные из многих популярных приложений, включая веб-браузеры, VPN, а также FTP- и почтовые клиенты.
Впервые обнаруженный еще в 2014 году, Agent Tesla — это кейлоггер и похититель информации, популярность которого среди киберпреступников выросла за последние два года. Вредоносная программа изначально продавалась на различных хакерских форумах и рынках, а ее создатели предоставили клиентам саму вредоносную программу, а также панель управления, позволяющую легко сортировать собираемые ею данные.
Старший исследователь угроз в SentinelOne, Джим Уолтер обнаружил специальный код, используемый для сбора данных о конфигурации приложений и учетных данных пользователей после анализа нескольких новых образцов вредоносной программы Agent Tesla. Уолтер предоставил более подробную информацию о возможностях этих новых модулей в посте в блоге:
«В настоящее время Агент Тесла продолжает использоваться на различных стадиях атак. Его способность настойчиво управлять и манипулировать устройствами жертв по-прежнему привлекательна для злоумышленников низкого уровня». Теперь агент Тесла может собирать данные конфигурации и учетные данные с ряда распространенных VPN-клиентов, FTP- и Email-клиентов, а также с веб-браузеров. Вредоносная программа имеет возможность извлекать учетные данные из реестра, а также соответствующие файлы конфигурации или поддержки».
Варианты агента Тесла
Анализ последних вариантов Agent Tesla, проведенный SentinelOne, показал, что вредоносная программа теперь может красть учетные данные пользователей из ряда популярных приложений, включая Google Chrome, Chromium, Safari, Mozilla Firefox, Microsoft Edge, Opera, Microsoft Outlook, Mozilla Thunderbird, OpenVPN и других.
Как только вредоносная программа получает учетные данные и данные конфигурации приложения от целевой программы, она передает эту информацию на свой командно-контрольный (C2) сервер по FTP или STMP, используя учетные данные, включенные во внутреннюю конфигурацию.
Уолтер также отметил в посте своего блога, что текущие варианты агента Tesla часто «бросают или получают вторичные исполняемые файлы», которые затем вставляются в известные и уязвимые двоичные файлы на целевом узле.
Хотя агент Tesla существует уже много лет, новые модули, которые были добавлены в вредоносную программу, делают ее еще более эффективной для кражи пользовательских данных.