هفته گذشته ، زیرساخت های بدنام botnet ، به نام Emotet ، با همکاری نیروی انتظامی تعطیل شد. انتظار می رود که نرم افزار مخربی به نام Agent Tesla خلا gap را پر کند. از آنجا که ما با ارتقا مناسب بنیاد را تقویت کرده ایم ، فقط گزینه های مشتری باقی مانده است.

[보안뉴스 문가용 기자] عامل مخرب تسلا به روزرسانی شده است. ادعا می شود که فناوری ارتباطات تغییر کرده و فناوری جدیدی نصب شده است که تصمیم برای یافتن نقطه پایان را دور می زند. شرکت امنیتی Sophos گزارشی در این باره ایجاد و منتشر کرد.

عامل تسلا نوعی تروجان دسترسی از راه دور (RAT) است که در شبکه تاریک با عنوان “Malware-as-a-Service” (MaaS) به فروش می رسد. در ماه های اخیر بسیار محبوب شده است و توسعه دهندگان با دقت متناسب با آن ارتقا می دهند. به طور خاص ، اخیراً روی تکنیک های دور زدن راه حل های شناسایی تمرکز کرده است.

Agent Tesla ، بدافزاری که از سال 2014 وجود دارد ، به دستگاه های مبتنی بر ویندوز نفوذ می کند و عملکرد سرقت اطلاعات حساس مانند اعتبارنامه را انجام می دهد. ضبط صفحه ، ثبت صفحه کلید و ضبط کلیپ بورد از عملکردهای اصلی است. از دسامبر سال 2020 ، عامل تسلا 20٪ از کل پیوست های ایمیل مخرب را تشکیل می دهد.

شان گالاگر ، محقق ارشد تحقیق در زمینه تهدید ، گفت: “محبوبیت از آوریل گذشته در حال افزایش است.” “به نظر می رسد دو عامل در رشد سریع وجود دارد. مدل تجاری Agent Tesla برای جلب نظر کاربران بیشتری به بلوغ رسیده است و هر دو به این دلیل است که انسداد کد به اندازه کافی خوب شروع شده است تا از رفتار مهندسی معکوس مشتریانی که Tesla Agent را خریداری کرده اند جلوگیری کند. “

دو نسخه از عامل تسلا وجود دارد که اکنون فعال استفاده می شود ، 2 و 3. شماره نسخه کمی متفاوت است ، اما گفته می شود از نظر عملکرد تقریباً یکسان است. با این حال ، گالاگر می گوید ، نسخه 2 از نظر مه آلودگی پیشرفته تر از نسخه 1 است و به نظر می رسد نسخه 3 نیز در زمینه مه شکن بسیار کار کرده است. “به عبارت دیگر ، می بینید که توسعه دهندگان بر این امر متمرکز شده اند که اجازه نمی دهند مشتریان خرید کنند و سپس نماینده تسلا را هک کرده و به طور مستقل کار کنند.”

عامل تسلا عمدتا به عنوان پیوست به ایمیل های مخرب توزیع می شود. در مرحله اول ، بارگیری مبتنی بر NET روی سیستم قربانی قرار می گیرد. بارگیری کد رمزگذاری شده base64 را از سایتی مانند Pastebin بارگیری می کند. سپس با رمزگشایی و رمزگشایی موارد بارگیری شده ، لودر را کامل می کند. این لودر محموله نهایی را حمل می کند. این یک الگوی معمول حمله است.

در این نسخه ، او چند روش برای خنثی کردن ماسه سنگ و تجزیه و تحلیل استاتیک دارد. علاوه بر استفاده از packers برای پنهان کردن کد ، نصب بدافزار در چندین مرحله انجام می شود. در این زمان ، برخی از موارد از سایت های شناخته شده یا عادی وارد می شوند ، بنابراین شناسایی نمی شوند. در مورد نصب کننده ، Microsoft AMSI همچنین برای جبران اثر سعی در بازنویسی کد دارد.

اگر حمله AMSI موفقیت آمیز باشد ، نرم افزار امنیتی نقطه پایانی مرتبط با AMSI به درستی کار نخواهد کرد. از آنجا که این فرآیند در مراحل اولیه عفونت رخ می دهد ، می توان گفت که محافظت عملی در برابر AMSI تا مرحله اول برداشت و همچنین بار نهایی نهایی غیرفعال می شود.

مشکل دیگر این است که عامل تسلا نسخه 3 تعداد زیادی برنامه را هدف قرار می دهد. Google Chrome ، Firefox ، OpenVPN ، Opera ، Yandex ، Chromium ، Outlook ، Opera Mail ، Smart FTP ، WinVCN4 ، WinSCP ، FTP Navigator همه موارد مورد حمله و شناسایی اطلاعات هدف از این برنامه ها هستند. هنگامی که داده ها به سرقت رفت ،