Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Agent Tesla использует устаревший ZPAQ для кражи данных

23/11/23

hack53-Nov-23-2023-10-16-17-4675-AM

Компания G Data обнаружила новый вариант вредоносного ПО Agent Tesla, доставляемый через файл-приманку в формате сжатия ZPAQ для сбора данных из нескольких почтовых клиентов и почти 40 веб-браузеров.

В G Data отметили, что ZPAQ предлагает лучшие показатели сжатия и функцию журналирования по сравнению с обычными форматами (ZIP и RAR), но его недостатком является ограниченная поддержка со стороны программного обеспечения. Об этом пишет Securitylab.

Agent Tesla, впервые появившийся в 2014 году, является кейлоггером и трояном удаленного доступа (Remote Access Trojan, RAT), написанным на .NET. Agent Tesla реализуется в рамках модели «вредоносное ПО как услуга» (Malware-as-a-Service, MaaS) и обычно используется для обеспечения удаленного доступа к скомпрометированным системам, а также для дальнейшей загрузки вымогательского ПО.

В обнаруженных кампаниях Agent Tesla распространяется через фишинговые письма, причём в некоторых случаях эксплуатировалась уязвимость CVE-2017-11882 (CVSS: 7.8) в редакторе формул Microsoft Office Equation Editor. Сама атака начинается с электронного письма, содержащего вложение в виде файла ZPAQ, который выглядит как PDF-документ. Открытие файла приводит к распаковке переполненного исполняемого файла .NET, размер которого искусственно увеличен до 1 ГБ для обхода стандартных мер безопасности.

G Data объясняет, что основная функция исполняемого файла заключается в загрузке и расшифровке файла с расширением .wav с целью маскировки вредоносной активности под обычный трафик и затруднения его обнаружения решениями сетевой безопасности. Конечная цель атаки — заразить устройство Agent Tesla, который скрыт за .NET Reactor, легитимным программным обеспечением для защиты кода. Управление происходит через Telegram.

Новое развитие атак указывает на то, что злоумышленники ищут новые способы доставки вредоносного ПО, используя необычные форматы файлов. Такая тенденция требует от пользователей особой бдительности перед подозрительными электронными письмами и постоянного обновления своих систем. В G Data отметили, что использование ZPAQ в данном контексте вызывает вопросы, предполагая, что атакующие либо нацеливаются на определённую группу людей с техническими знаниями, либо тестируют новые методы распространения вредоносного ПО для обхода систем безопасности.

Темы:УгрозыAgentTeslaG Data
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...