AgentTesla Kötü Amaçlı Yazılım Saldırısı Windows Makinesi Hassas Verileri Çaldı


AgentTesla, keylogger ve bilgi hırsızı olarak işlev gören kötü şöhretli bir kötü amaçlı yazılımdır.

Bu kötü şöhretli kötü amaçlı yazılım, tuş vuruşlarını günlüğe kaydederek ve virüslü sistemlerdeki ekran görüntülerini yakalayarak aşağıdaki gibi hassas verileri hedefler: –

  • Giriş kimlik
  • Finansal bilgi

Son zamanlarda BitSight Security’deki siber güvenlik araştırmacıları, AgentTesla kötü amaçlı yazılımının hassas verileri çalmak için Windows makinelerine aktif olarak saldırdığını keşfetti.

Belge

Ücretsiz Web Semineri

MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.

AgentTesla Kötü Amaçlı Yazılım Windows’a Saldırıyor

AgentTesla, hassas verileri çalan ve ilk kez 2014’te ortaya çıkan, .NET tarafından yazılmış bir Windows kötü amaçlı yazılımıdır. Geniş çapta satıldıktan sonra yasal sorunlarla karşılaştı ve Mart 2019’da kapatıldı.

Daha sonra aynı kod tabanını paylaşan ve aşağıdaki gibi web siteleriyle açık web üzerinde lisanslı tabanlı Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak kalıcı bir tehdit oluşturan OriginLogger olarak yeniden ortaya çıktı:

  • ajanlar[.]iletişim
  • kökenpro[.]Ben
OriginLogger'ın
OriginLogger (Kaynak – Bitsight)

Araştırmacılar, sitelerden birinin AgentTesla’nın “OriginLogger” örneği için çeşitli özelleştirmelerle birlikte kısa vadeli (altı aya kadar) lisanslar sattığını buldu.

AgentTesla, Kasım ayında yeniden markalanan ve güncellenen yaygın bir kötü amaçlı yazılımdır. Aşağıdaki gibi yükleyicilere sahip kimlik avı e-postaları yoluyla yayılır: –

Bulaştıktan sonra aşağıdaki verileri toplar: –

  • Kimlik bilgileri
  • Tuş vuruşları
  • Pano verileri
  • Ekran görüntüleri

Sadece bu değil, aynı zamanda aşağıdaki gibi çeşitli protokolleri de kullanıyor: –

1500’den fazla yeni AgentTesla yapılandırması bulundu ve bunların %75’i, sızma amacıyla e-postayı kullandı. Ancak Aralık 2022’den bu yana herhangi bir HTTP sızıntısı gözlemlenmedi.

Yapılandırma sayısına göre filtreleme yöntemleri
Yapılandırma sayısına göre sızma yöntemleri (Kaynak – Bitsight)

Kötü amaçlı yazılımın topladığı veriler esas olarak aşağıdakilerden oluşur: –

  • Tarayıcılar
  • VPN istemcileri
  • Posta istemcileri
  • FTP istemcileri
  • VNC istemcileri
  • Microsoft Uygulamaları
  • Sosyal medya uygulamaları

Fiyatlandırma planları

Toplamda üç plan var ve aşağıda bu üç plandan bahsettik: –

  • 1 aylık planın maliyeti 50$ olacak
  • 3 aylık planın maliyeti 75$ olacak
  • 4 aylık planın maliyeti 90$ olacak

Araştırmacılar, Ekim-Aralık 2023 arasında 5.300 bilgisayarı tehlikeye atan 210 kötü amaçlı yazılım kampanyasından 3 aylık kurban verilerine erişti.

Yaklaşık 2000 IP adresinin coğrafi olarak haritalanması, ABD’nin en çok hedeflenen ülke olduğunu ve onu takip ettiğini gösteriyor.

Ortak ülke üst düzey alan adları Avrupa bağlarını akla getiriyordu. İstismar edilen veriler, fidye yazılımı ve iş e-postası güvenliği ihlal saldırıları gibi doğrudan istismar ve kâr odaklı planlar için kullanılır.

Gelişen tehditlere karşı koymak için araştırmacılar şunları entegre etmeye çağırdı: –

  • Çok katmanlı savunma mekanizması
  • Proaktif algılama
  • Çalışan farkındalığı
  • Sağlam siber güvenlik stratejisi

Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini ücretsiz deneyin



Source link