Agent Tesla telepítés CVE-2017-11882 kihasználásával
A 2014-ben először azonosított Agent Tesla egy fejlett keylogger, amely olyan funkciókkal rendelkezik, mint a vágólap naplózása, a képernyő billentyűzetrögzítése, a képernyő rögzítése és a különböző webböngészőkben tárolt jelszavak kinyerése. Nemrégiben a Zscaler ThreatLabz egy olyan fenyegetési kampányt észlelt, amelyben a fenyegetési szereplők a CVE-2017-11882 XLAM-ot kihasználva terjesztik az Agent Tesla-t a Microsoft Office sérülékeny verzióit használó felhasználók körében. A CVE-2017-11882 sérülékenység egy távoli kódfuttatási hiba, amelyet a Microsoft Office egyenletszerkesztőjében találtak. A Zscaler megvizsgálta a fenyegetési szereplők által alkalmazott taktikákat, amelyekkel a CVE-2017-11882-t kihasználó Agent Tesla kártevőt telepítik. Megosztják az adatlopáshoz használt módszereket és az olyan kitérési stratégiákat, mint az obfuszkálás és a hibakeresés elleni technikák. A fenyegetési szereplők olyan szavakat használnak a spam e-mailekben, mint a „megrendelések” és a „számlák”, hogy a felhasználókat a rosszindulatú mellékletek letöltésére ösztönözzék. A fenyegetési szereplők egy VBS-fájlt is beillesztenek a fertőzési láncba, hogy bonyolultabbá tegyék az elemzési és deobfuszkálási kísérleteket. A fenyegetési szereplők a „RegAsm.exe” fájlt arra használják, hogy valódi műveletnek álcázva rosszindulatú tevékenységeket hajtsanak végre.