Az új Agent Tesla változat a spanyolul beszélőket célozza meg adathalász-kampányon keresztül

A FortiGuard Labs azonosított egy spanyolul beszélő személyeket célzó adathalászkampányt, amely az Agent Tesla rosszindulatú szoftver egy új változatát terjeszti. A kampány különböző módszereket használ a Windows-alapú rendszerek megcélzására, többek között az MS Office sebezhetőségeit kihasználva, valamint JavaScript, PowerShell kód és fájl nélküli modulok segítségével. A nagy pénzintézetektől érkező SWIFT átutalási értesítéseknek álcázott adathalász e-mailek Excel-mellékleteket tartalmaznak, amelyek a CVE-2017-0199 sebezhetőséget kihasználva juttatják el a kártevőt.

A támadási folyamat során az Excel-melléklet automatikusan megnyit egy beágyazott OLE-hiperlinket, amely egy RTF-dokumentumot tölt le, amely kihasználja a Microsoft Office Equation Editor komponensében lévő CVE-2017-11882 sebezhetőséget. Ez lehetővé teszi a támadók számára, hogy tetszőleges kódot futtassanak az áldozat számítógépén. Az Agent Tesla variáns egy hatékony .NET-alapú távoli hozzáférésű trójai (RAT), amely 80 szoftveralkalmazásból képes érzékeny információkat ellopni, beleértve a bejelentkezési adatokat, banki adatokat és e-mail kapcsolatokat. Emellett billentyűleütéseket és képernyőképeket is rögzít, és az FTP protokollt használja az adatátadáshoz, ami megnehezíti a felderítést, mivel fájl nélkül fut, és kerüli a fájlok helyi tárolást.

Az ilyen fenyegetések elleni védekezéshez elengedhetetlen az óvatosság az adathalász e-mailekkel szemben, az operációs rendszer frissítése, erős jelszavak használata, valamint a jó hírű vírusírtó megoldásokba való befektetés.

(forrás)

(forrás)