AgentTesla Stealer, Silahlandırılmış PDF ve CHM Dosyaları Yoluyla Sunuldu


Kötü şöhretli bir bilgi hırsızı olan AgentTesla’nın, kurbanın bilgisayarındaki kritik bilgileri gizlice toplayan CHM ve PDF Dosyaları aracılığıyla yayıldığı gözlemleniyor.

Hırsızın tuş günlüğü tutma, panoya veri yakalama, dosya sistemi erişimi ve Komuta ve Kontrol (C&C) sunucusuna veri aktarımı gibi özellikleri bulunuyor.

CRIL’e göre, taktik değişiklikleri kuruluşlara yönelik ciddi tehdidi sürdürüyor ve paha biçilmez verilere erişmeye devam etmelerine olanak tanıyor.

Uyarlanabilirliği nedeniyle, e-posta ekleri, kötü amaçlı URL’ler ve belge tabanlı izinsiz girişler dahil olmak üzere çeşitli saldırı vektörlerinden yararlanmak için kullanılabilir.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

AgentTesla CHM Dosyası Yoluyla Teslim Edildi

AgentTesla enfeksiyonu, kurbanın bilgisayarında CHM dosyası içeren bir spam e-posta aracılığıyla alınan bir PowerShell betiğiyle başlar.

Özel tasarlanmış CHM dosyasında yem kullanılmaktadır. CHM dosyasındaki bilgilere göre ağ mühendisliği, telekomünikasyon veya bilgi teknolojisi alanlarında çalışan kişi veya kuruluşları hedef aldığı anlaşılıyor.

Kötü amaçlı CHM dosyası
Kötü amaçlı CHM dosyası

Bu CHM dosyası, kullanıcı onu açtığında uzak sunucudan gizlice bir PowerShell betiği indirir ve çalıştırır. PowerShell betiği, kodlanmış ikili dizeleri kullanarak zararlı kodu gizler.

Enfeksiyon Zinciri
Enfeksiyon Zinciri

Kötü amaçlı PowerShell betiği, AgentTesla yükünü sistemdeki yürütülebilir dosyalara enjekte eden .NET çerçevesini temel alan bir yükleyici DLL dosyasını bırakır.

AgentTesla PDF Dosyası Yoluyla Teslim Edildi

Bu durumda, bu PDF, enfeksiyonu yaymak için iki farklı strateji kullanıyor. İlk teknikte PDF, AgentTesla kötü amaçlı yazılımını yükleyen bir PowerShell komutunu tetikler.

PDF Dosyasına Gömülü İki URL
PDF Dosyasına Gömülü İki URL

İkinci teknik, PDF’ye erişildiğinde sahte bir mesaj gösteriyor ve kullanıcılar “Yeniden Yükle” düğmesini tıkladığında bir PPAM dosyası indiriliyor.

Bu PPAM dosyası tarafından yürütülen PowerShell işlemleri, AgentTesla kötü amaçlı yazılımını indirir.

Öneriler

  • İstenmeyen postaları, kimlik avı dolandırıcılıklarını ve zararlı ekleri tespit edip durdurmak için etkili e-posta filtreleme çözümleri kullanın.
  • Şüpheli bağlantılara tıklamaktan ve e-posta eklerini açmaktan kaçının.
  • Bağlı cihazlarınızın tümüne güvenilir bir İnternet güvenliği ve antivirüs yazılımı yükleyin.

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link