Jump to content

Агент Тесла

Edit links

Agent Tesla — это троян удаленного доступа (RAT), написанный на .NET , который с 2014 года активно атакует пользователей систем на базе ОС Microsoft Windows. Это универсальное вредоносное ПО с широким спектром возможностей, включая кражу конфиденциальной информации, кейлоггинг и создание снимков экрана. захватывать. С момента своего выпуска эта вредоносная программа регулярно получала обновления. Оно продается как вредоносное ПО как услуга, с возможностью приобретения нескольких вариантов подписки. Кампании с участием агента Теслы часто начинаются с фишинговых писем, маскирующихся под законные сообщения из надежных источников. [1]

Особенности и функциональность

[ редактировать ]

Универсальность агента Тесла очевидна в его широком спектре функций. Он может:

  • Кража учетных данных и личных данных. Агент Тесла умеет собирать конфиденциальную информацию, включая пароли, имена пользователей, контактную информацию, финансовые данные и историю просмотров. Вредоносное ПО может собирать информацию из более чем 50 приложений, таких как почтовые клиенты и веб-браузеры.
  • Делайте снимки экрана: агент Тесла может делать снимки экрана компьютера жертвы, фиксируя конфиденциальную информацию и действия в Интернете.
  • Перехват сообщений: агент Тесла может перехватывать электронную почту, сообщения чата и другие формы онлайн-общения, шпионя за онлайн-активностью жертвы.
  • Записывайте нажатия клавиш: агент Тесла может отслеживать нажатия клавиш жертвы, регистрируя пароли, имена пользователей и другие конфиденциальные данные, вводимые на клавиатуре.
  • Загружать и скачивать файлы: Агент Тесла может загружать и скачивать файлы с компьютера жертвы, а также устанавливать дополнительные модули.
  • Распространение на другие системы. Агент Тесла может распространиться на другие компьютеры в сети посредством совместного использования файлов или использования уязвимостей в сетевой инфраструктуре. [1]

Технические детали

[ редактировать ]

Агент Тесла широко использует обфускацию, в том числе посредством упаковки кода и различных методов, таких как кодирование Base64 или шифрование XOR своих данных. [2] Из-за этого инструментам безопасности и аналитикам становится сложнее анализировать и обнаруживать вредоносное ПО. Он также включает в себя функцию антианализа, позволяющую принимать меры уклонения для предотвращения обнаружения решениями безопасности и даже отключать функции безопасности, такие как контроль учетных записей пользователей (UAC). [3]

Большинство кампаний агента Теслы многоэтапны, то есть состоят из нескольких этапов. Типичный процесс выполнения выглядит так:

  1. Вредоносное ПО доставляется через вложение спам-сообщения в виде документа Office или zip-файла, содержащего вредоносную полезную нагрузку. [4]
  2. После открытия вложения загрузчик первого этапа обычно запускается с помощью макросов VBS, сценариев или с помощью эксплойтов уязвимостей, включая CVE-2017-11882/CVE-2018-0802. [5]
  3. Загрузчик извлекает второй этап из внешнего источника, такого как платформа обмена файлами Pastebin.
  4. Второй этап скачивается, сохраняется в папке Temporary и расшифровывается.
  5. Последняя полезная нагрузка агента Теслы выполнена.
  6. Полезная нагрузка собирает информацию из системы жертвы и отправляет ее злоумышленнику. [6]

Agent Tesla Операторы вредоносного ПО могут выбирать между четырьмя различными протоколами связи со своим сервером управления и контроля (C2), HTTP , SMTP , FTP и Telegram чатом . Конкретный используемый метод зависит от конфигурации, установленной злоумышленником.

Агент Тесла использует два основных метода для обеспечения устойчивости, гарантируя, что он останется активным даже после перезагрузки системы. Один метод предполагает создание своей копии в папке автозагрузки, а другой основан на добавлении агентом Tesla ключей запуска реестра, чтобы инициировать выполнение во время процесса загрузки. Кроме того, агент Тесла может использовать Tor, анонимизирующую сеть, чтобы затруднить отслеживание его коммуникаций. [7]

Инциденты

[ редактировать ]

Агент Тесла на протяжении многих лет использовался во многих кибератаках в различных сферах. Особенно широко он использовался во время пандемии COVID-19. Например, в 2020 году была замечена кампания с использованием фейкового обновления средств индивидуальной защиты, распространяющая «Агент Тесла», а в 2021 году в одной из атак использовалась приманка в виде документа о графике вакцинации от COVID. [8] [9] В октябре 2022 года агент Тесла был признан одним из наиболее распространенных штаммов вредоносного ПО в сфере образования, затрагивающим 7% организаций по всему миру. [10]

Ссылки

[ редактировать ]
  1. ^ Jump up to: а б Арндт, Джеймс (21 февраля 2023 г.). «Восстание агента Теслы: понимание печально известного кейлоггера» . Кофенс.
  2. ^ Уайт, Джефф (25 сентября 2017 г.). «Анализ различных слоев упаковки AgentTesla» . Блок 42.
  3. ^ Блог сообщества Netwitness (17 июня 2022 г.). «Агент Тесла: Похититель информации» . Блог сообщества Netwitness.
  4. ^ Коса (18 мая 2023 г.). «Имитация угроз: агент Тесла» . Коса.
  5. ^ Чжан, Сяопэн (5 сентября 2023 г.). «Новый вариант агента Тесла распространяется посредством созданного документа Excel» . Фортинет.
  6. ^ Галлахер, Шон (2 февраля 2021 г.). «Агент Тесла усиливает атаки по краже информации» . Новости Софоса.
  7. ^ Группа исследования угроз Splunk (16 ноября 2022 г.). «В сознании крысы: обнаружение и анализ агента Теслы» . Спланк.
  8. ^ Уолтер, Джим (4 сентября 2020 г.). «Угрозы Intel, кибератаки с использованием пандемии COVID-19/Коронавируса» . Страж Один.
  9. ^ Бизга, Алина (18 июня 2021 г.). «Злоумышленники распространяют агент Тесла, замаскированный под регистрацию вакцинации от COVID-19» . Битдефендер.
  10. ^ Келли, Росс (9 ноября 2022 г.). «AgentTesla потрясает сектор образования на фоне всплеска атак вредоносного ПО» . Цифровые новости.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Agent_Tesla&oldid=1229581607"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: a92d64cbab14e699209d921235495bfb__1718629200
URL1:https://arc.ask3.ru/arc/aa/a9/fb/a92d64cbab14e699209d921235495bfb.html
Заголовок, (Title) документа по адресу, URL1:
Agent Tesla - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)