Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Kimlik avı kampanyası Agent Tesla’yı düşürmek için PowerPoint makrolarını kullanıyor

Kimlik avı kampanyası Agent Tesla’yı düşürmek için PowerPoint makrolarını kullanıyor

Kötü amaçlı makro koduyla dolu Microsoft PowerPoint belgelerine dayanan devam eden bir kimlik avı kampanyasında Agent Tesla kötü amaçlı yazılımının yeni bir varyantı görülmüştür.

Ajan Tesla bir. İnternet’te dolaşan net tabanlı bilgi hırsızı uzun yıllar ancak kimlik avı aktörlerinin elinde bir tehdit olmaya devam ediyor.

Haziran 2021’de, rapor ettik Ajan Tesla’nın atipik WIM dosya ekine dayanan DHL temalı kimlik avı kampanyalarında aktif dağıtımı hakkında.

En son kampanyada, araştırmacılar Fortinet tehdit aktörlerinin Koreli kullanıcıları “sipariş” ayrıntıları içerdiği iddia edilen e-postalarla hedef aldığını açıklayın.

Son Kore hedefleme kampanyasında örnek e-posta tespit edildi
Son Kore hedefleme kampanyasında örnek e-posta tespit edildi
Kaynak: Fortinet

Ek bir PowerPoint dosyası olduğundan, alıcıları Düzgün görüntülemek için Microsoft Office’te “içeriği etkinleştirmeleri” için ikna etme şansı artar.

VBA kodundan PowerShell’e

Açılırsa, dosya herhangi bir slayt sunmaz, ancak bunun yerine uzak bir sitede uzak HTML kaynağının yürütülmesini çağıran otomatik çalıştırma VBA işlevini başlatır.

Kaçan VBScript kodu çalıştırıldıktan sonra aktör, Ajan Tesla’yı gizlice teslim etmek için PowerShell de dahil olmak üzere bir dizi komut dosyası kullanabilir.

Uzak kaynakta HTML yürütme
Uzak kaynakta HTML yürütme
Kaynak: Fortinet

Fortinet aşağıdaki komut dosyalarını ve rollerini tespit etti:

  • VBScript gömülü-in-HTML – Görev Zamanlayıcı’ya bir komut satırı komutu ekleyerek kötü amaçlı yazılımı her iki saatte bir (varsa) yükseltir.
  • Tek başına VBS dosyası – yeni bir base64 kodlu VBS dosyası indirir ve kalıcılık için Başlangıç klasörüne ekler.
  • İkinci bağımsız VBS – Ajan Tesla’yı indirir ve PowerShell kodu oluşturur.
  • PowerShell kodu – bellekte Agent Tesla yükünü geçirerek işlem boşaltma gerçekleştiren yeni bir işlev “ClassLibrary3.Class1.Run()” çağırmak için yürütülür.

Kötü amaçlı yazılım, dört Windows API işlevi aracılığıyla yürütülebilir .exe yasal Microsoft .NET RegAsm’a enjekte edilir. Dosyayı RegAsm.exe enjekte ederek, Ajan Tesla virüslü sistem dosyasız olarak çalışabilir, böylece tespit edilme şansı önemli ölçüde düşer.

Ajan Tesla yükü bir süreçte dağıtıldı
Ajan Tesla yükü bir süreçte dağıtıldı
Kaynak: Fortinet

Bir dizi ürünü hedefleme

Agent Tesla bir keylogger, bir tarayıcı çerezi ve kaydedilmiş kimlik bilgileri hırsızı, pano veri algılayıcısı ve hatta bir ekran görüntüsü aracına sahiptir.

Saldırgan, yük derlemesi sırasında hangi özelliklerin etkinleştireceğini seçebilir, böylece güç ve gizlilik dengesi arasında seçim yapabilir.

Toplamda, Ajan Tesla 70’ten fazla uygulamadan veri alabilir ve en popüler olanlar aşağıda listelenmiştir.

Krom Tabanlı Web Tarayıcıları:
Epik Gizlilik, Uran, Chedot, Comodo Dragon, Chromium, Orbitum, Cool Novo, Sputnik, Coowon, Brave, Liebao Browser, Elements Browser, Sleipnir 6, Vivaldi, 360 Browser, Torch Browser, Yandex Browser, QIP Surf, Amigo, Kometa, Citrio, Opera Browser, CentBrowser, 7Star, Coccoc ve Iridium Browser

Web Tarayıcıları:
Chrome, Microsoft Edge, Firefox, Safari, IceCat, Waterfox, Tencent QQBrowser, Flock Browser, SeaMonkey, IceDragon, Falkon, UCBrowser, Cyberfox, K-Meleon, PaleMoon

VPN istemcileri:
OpenVPN, NordVPN, RealVNC, TightVNC, UltraVNC, Özel İnternet Erişimi VPN

FTP istemcileri:
FileZilla, Cftp, WS_FTP, FTP Gezgini, FlashFXP, SmartFTP, WinSCP 2, CoreFTP, FTPGetter

E-posta istemcileri:
Outlook, Posta Kutusu, Thunderbird, Mailbird, eM Client, Claws-mail, Opera Mail, Foxmail, Qualcomm Eudora, IncrediMail, Pocomail, Becky! İnternet Postası, Yarasa!

Karşıdan yükleyici/IM istemcileri:
DownloadManager, jDownloader, Psi+, Trillian

Diğer:
MySQL ve Microsoft Kimlik Bilgileri

Toplanan verileri sızdırma söz konusu olduğunda, kötü amaçlı yazılım bunu yapmak için http post, FTP yükleme, SMTP ve Telegram olmak üzere dört yol sunar.

Gönderilen her paket türünü belirten bir sayı taşır ve aşağıda ayrıntılı olarak açıklanan yedi paket türü vardır:

  • Paket “0”: Saldırgana Ajan Tesla’nın başladığını söyleyen her zaman ilk pakettir. Yalnızca “üstbilgi” verilerini içerir.
  • Paket “1”: Her 120 saniyede bir gönderilir. Saldırgana Ajan Tesla’nın hayatta olduğunu söylemek kalp atışı gibi. Yalnızca “üstbilgi” verilerini içerir.
  • Paket “2”: Her 60 saniyede bir gönderilir ve yalnızca “üstbilgi” verilerini içerir. Ajan Tesla yanıtı okur ve “kaldırma” içerip içermediğine kontrol eder. Evet ise, Ajan Tesla tarafından yapılan tüm dosyaları silmek ve Ajan Tesla’nın oluşturduğu kayıt defterinden anahtarları kaldırmak da dahil olmak üzere, Ajan Tesla’yı kurbanın sisteminden kaldırır ve işlemden çıkar.
  • Paket “3”: Gönderinin “veri” bölümünde kurbanın tuş vuruşlarını (keylogger verileri) ve çalınan pano verilerini gönderir.
  • Paket “4”: Gönderinin “veri” bölümünde kurbanın ekranının yakalanan ekran görüntülerini gönderir.
  • Paket “5”: Yazılımın istemcilerinden çalınan kimlik bilgilerini gönderinin “veri” bölümünde gönderir.
  • Paket “6”: Tarayıcılardan toplanan ve gönderinin “veri” kısmına dahil edilen çerez dosyalarını bir ZIP arşivine gönderir.
Ajan Tesla tarafından exfiltrated paketleri
Ajan Tesla tarafından exfiltrated paketleri
Kaynak: Fortinet

Kendinizi nasıl korursunuz?

Ajan Tesla enfeksiyonları çok şiddetlidir, ancak istenmeyen e-postalar resepsiyondan hemen sonra silinirse bunlardan kolayca kaçınabilirsiniz.

VBA makroları Excel karşılıkları kadar tehlikeli olabileceğinden, PowerPoint belgelerine son derece dikkatli davranılmalıdır.

Özetle, Internet güvenlik kalkanlarınızı, yazılımınızı güncel, Microsoft Office makrolarınızı devre dışı ve merakınızı kontrol altında tutun.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.