Kötü amaçlı makro koduyla dolu Microsoft PowerPoint belgelerine dayanan devam eden bir kimlik avı kampanyasında Agent Tesla kötü amaçlı yazılımının yeni bir varyantı görülmüştür.
Ajan Tesla bir. İnternet’te dolaşan net tabanlı bilgi hırsızı uzun yıllar ancak kimlik avı aktörlerinin elinde bir tehdit olmaya devam ediyor.
Haziran 2021’de, rapor ettik Ajan Tesla’nın atipik WIM dosya ekine dayanan DHL temalı kimlik avı kampanyalarında aktif dağıtımı hakkında.
En son kampanyada, araştırmacılar Fortinet tehdit aktörlerinin Koreli kullanıcıları “sipariş” ayrıntıları içerdiği iddia edilen e-postalarla hedef aldığını açıklayın.
Ek bir PowerPoint dosyası olduğundan, alıcıları Düzgün görüntülemek için Microsoft Office’te “içeriği etkinleştirmeleri” için ikna etme şansı artar.
VBA kodundan PowerShell’e
Açılırsa, dosya herhangi bir slayt sunmaz, ancak bunun yerine uzak bir sitede uzak HTML kaynağının yürütülmesini çağıran otomatik çalıştırma VBA işlevini başlatır.
Kaçan VBScript kodu çalıştırıldıktan sonra aktör, Ajan Tesla’yı gizlice teslim etmek için PowerShell de dahil olmak üzere bir dizi komut dosyası kullanabilir.
Fortinet aşağıdaki komut dosyalarını ve rollerini tespit etti:
- VBScript gömülü-in-HTML – Görev Zamanlayıcı’ya bir komut satırı komutu ekleyerek kötü amaçlı yazılımı her iki saatte bir (varsa) yükseltir.
- Tek başına VBS dosyası – yeni bir base64 kodlu VBS dosyası indirir ve kalıcılık için Başlangıç klasörüne ekler.
- İkinci bağımsız VBS – Ajan Tesla’yı indirir ve PowerShell kodu oluşturur.
- PowerShell kodu – bellekte Agent Tesla yükünü geçirerek işlem boşaltma gerçekleştiren yeni bir işlev “ClassLibrary3.Class1.Run()” çağırmak için yürütülür.
Kötü amaçlı yazılım, dört Windows API işlevi aracılığıyla yürütülebilir .exe yasal Microsoft .NET RegAsm’a enjekte edilir. Dosyayı RegAsm.exe enjekte ederek, Ajan Tesla virüslü sistem dosyasız olarak çalışabilir, böylece tespit edilme şansı önemli ölçüde düşer.
Bir dizi ürünü hedefleme
Agent Tesla bir keylogger, bir tarayıcı çerezi ve kaydedilmiş kimlik bilgileri hırsızı, pano veri algılayıcısı ve hatta bir ekran görüntüsü aracına sahiptir.
Saldırgan, yük derlemesi sırasında hangi özelliklerin etkinleştireceğini seçebilir, böylece güç ve gizlilik dengesi arasında seçim yapabilir.
Toplamda, Ajan Tesla 70’ten fazla uygulamadan veri alabilir ve en popüler olanlar aşağıda listelenmiştir.
Krom Tabanlı Web Tarayıcıları:
Epik Gizlilik, Uran, Chedot, Comodo Dragon, Chromium, Orbitum, Cool Novo, Sputnik, Coowon, Brave, Liebao Browser, Elements Browser, Sleipnir 6, Vivaldi, 360 Browser, Torch Browser, Yandex Browser, QIP Surf, Amigo, Kometa, Citrio, Opera Browser, CentBrowser, 7Star, Coccoc ve Iridium Browser
Web Tarayıcıları:
Chrome, Microsoft Edge, Firefox, Safari, IceCat, Waterfox, Tencent QQBrowser, Flock Browser, SeaMonkey, IceDragon, Falkon, UCBrowser, Cyberfox, K-Meleon, PaleMoon
VPN istemcileri:
OpenVPN, NordVPN, RealVNC, TightVNC, UltraVNC, Özel İnternet Erişimi VPN
FTP istemcileri:
FileZilla, Cftp, WS_FTP, FTP Gezgini, FlashFXP, SmartFTP, WinSCP 2, CoreFTP, FTPGetter
E-posta istemcileri:
Outlook, Posta Kutusu, Thunderbird, Mailbird, eM Client, Claws-mail, Opera Mail, Foxmail, Qualcomm Eudora, IncrediMail, Pocomail, Becky! İnternet Postası, Yarasa!
Karşıdan yükleyici/IM istemcileri:
DownloadManager, jDownloader, Psi+, Trillian
Diğer:
MySQL ve Microsoft Kimlik Bilgileri
Toplanan verileri sızdırma söz konusu olduğunda, kötü amaçlı yazılım bunu yapmak için http post, FTP yükleme, SMTP ve Telegram olmak üzere dört yol sunar.
Gönderilen her paket türünü belirten bir sayı taşır ve aşağıda ayrıntılı olarak açıklanan yedi paket türü vardır:
- Paket “0”: Saldırgana Ajan Tesla’nın başladığını söyleyen her zaman ilk pakettir. Yalnızca “üstbilgi” verilerini içerir.
- Paket “1”: Her 120 saniyede bir gönderilir. Saldırgana Ajan Tesla’nın hayatta olduğunu söylemek kalp atışı gibi. Yalnızca “üstbilgi” verilerini içerir.
- Paket “2”: Her 60 saniyede bir gönderilir ve yalnızca “üstbilgi” verilerini içerir. Ajan Tesla yanıtı okur ve “kaldırma” içerip içermediğine kontrol eder. Evet ise, Ajan Tesla tarafından yapılan tüm dosyaları silmek ve Ajan Tesla’nın oluşturduğu kayıt defterinden anahtarları kaldırmak da dahil olmak üzere, Ajan Tesla’yı kurbanın sisteminden kaldırır ve işlemden çıkar.
- Paket “3”: Gönderinin “veri” bölümünde kurbanın tuş vuruşlarını (keylogger verileri) ve çalınan pano verilerini gönderir.
- Paket “4”: Gönderinin “veri” bölümünde kurbanın ekranının yakalanan ekran görüntülerini gönderir.
- Paket “5”: Yazılımın istemcilerinden çalınan kimlik bilgilerini gönderinin “veri” bölümünde gönderir.
- Paket “6”: Tarayıcılardan toplanan ve gönderinin “veri” kısmına dahil edilen çerez dosyalarını bir ZIP arşivine gönderir.
Kendinizi nasıl korursunuz?
Ajan Tesla enfeksiyonları çok şiddetlidir, ancak istenmeyen e-postalar resepsiyondan hemen sonra silinirse bunlardan kolayca kaçınabilirsiniz.
VBA makroları Excel karşılıkları kadar tehlikeli olabileceğinden, PowerPoint belgelerine son derece dikkatli davranılmalıdır.
Özetle, Internet güvenlik kalkanlarınızı, yazılımınızı güncel, Microsoft Office makrolarınızı devre dışı ve merakınızı kontrol altında tutun.