Új fronton támadnak az Agent Tesla program adattolvajai

Az adatlopásra alkalmas kártékony Agent Tesla program már PowerPoint prezentációk révén is terjed.

Adatvédelmi és adatbiztonsági szakemberek az Agent Tesla elleni védekezés gyanánt a megelőzést, ezen belül a  korszerű víruskeresők használatát, valamint megfontolt és tudatos internethasználatot,  levelezést tartják  fontosnak.

Levelekbe bújtatott tolvajok

Az Agent Tesla trójai adatlopó program több éve terjed az interneten, és kezdetektől fogva adatlopási célokkal fertőzi a számítógépeket. A terjesztésében sok esetben jutnak szerephez adathalász technikák. Legutóbb idén augusztusban volt egy intenzívebb támadás ezzel a programmal, amikor olyan hamis elektronikus levelek révén próbáltá rászedni a felhasználókat az adattolvajok, amelyek a koronavírus járvány okozta vásárlási helyzetet kihasználva nemzetközi csomagküldő szolgálatok nevével és ismertségével éltek vissza. A program által küldött elektronikus levelek Word és Excel tartományainak megnyitásával kerültek be az adattolvajok a felhasználók számítógépeinek adatbázisaiba, többször cégek, intézmények rendszereibe is, ha egy alkalmazott megnyitott egy ismeretlen, álcázott, az Agent Tesla által küldött fájlt.

Nem árt az óvatosság

Mivel sokan már tisztában vannak azzal, hogy a nem megbízható forrásból származó Word és Excel dokumentumok megnyitása károkhoz vezethet a szakértők szerint az adattolvajok is váltottak, legújabb trükkjük a PowerPoint alkalmazást is bevonta a károkozásokba.

 Az Agent Tesla mögött meghúzódó banda továbbra is kéretlen leveleket használ, de mivel azok mellékletében PowerPoint fájl található és eddig a prezentációkban nem volt adatlopó vírus egyre több gyanútlan felhasználó nyitja meg a tolvajok új fejlesztésű trójai falovait.  Eddig elsősorban távol keleti felhasználókat céloztak meg, de ez elemzők szerint ez bármikor megváltozhat, így érdemes óvatosnak lenni, érdemes felkészülni az Agent Tesla kártékony hackereinek európai, ezáltal magyarországi támadásaira is. 

Így működik az Agent Tesla 

Az adattolvajok továbbra is ismert, népszerű világcégek nevében küldik a leveleiket. Amikor a felhasználó megnyit egy kártékony, PowerPoint állományt, akkor az alkalmazás rákérdez arra, hogy engedélyezi-e az abban lévő tartalmak megnyitását.  Amennyiben igen, akkor semmiféle prezentáció nem nyílik meg, ellenben a háttérben lefutnak azok a kódok, amik az Agent Tesla számítógépre való feljuttatását elvégzik. Emellett ütemezett feladatok létrehozásával, valamint Indítópultban történő parancsikon elhelyezéssel gondoskodnak arról, hogy a trójai a Windows minden újraindítását követően be tudjon töltődni, amihez különféle PowerShell scripteket is használ a károkozó, aki innentől átveszi a gép irányítását, így megszerzi az ott tárolt adatokat is. 

A trójai legújabb variánsa a teljesen ártalmatlan Microsoft .NET RegAsm.exe fájlt fertőzi meg, és ebbe fecskendezi be a kódját, majd e mögül végzi a nemkívánatos tevékenységét. A szerzemény elsősorban alkalmazások által eltárolt adatokat igyekszik kifürkészni. Képes  webböngészőkből, FTP-alkalmazásokból, VPN-kliensekből és levelezőprogramokból is kinyerni a felhasználó által elmentett bizalmas adatokat, például felhasználóneveket, jelszavakat, kódokat, banki adatokat. Mindezek mellett már kompatibilis a MySQL-lel is, így adatbázisokból is szerezhet információkat. Amint végez a “gyűjtögetéssel”, akkor a megszerzett adatokat négyféle módon tudja feltölteni a támadók szervereire, mivel képes HTTP, FTP, SMTP és Telegram alapú kommunikációra is. 

Az Agent Tesla nagyon veszélyes, de létezik ellenszer, egy megfelelő víruskereső rendszer azonnal kiszűri, leállítja, eltávolítja. A károkozás, az adatvédelmi incidens megelőzése és a hatékony védekezés érdekében ajánlatos felvenni a kapcsolatot adatvédelmi és adatbiztonsági szakemberekkel!

 

 

Scroll to top