کمیته رکن چهارم – به گزارش شرکت Fortinet، نسخهی جدیدی از جاسوسافزار Agent Tesla از طریق اسناد مایکروسافت وردِ مخرب توزیع میشود.
در ماه ژوئن پژوهشگران متوجه شدند این بدافزار از طریق یک سند مایکروسافت ورد مخرب که حاوی یک ماکرو VBA اجراشونده به صورت خودکار است منتشر میشود. پس از باز کردن این سند، از کاربر خواسته میشود تا قابلیت «enable content» را فعال کند، و در صورتی که کاربر این کار را انجام دهد بدافزار به صورت مخفیانه نصب میشود.
اسناد مخربی که در پویش اخیر مشاهده شدهاند، به جای اینکه از قربانی بخواهند قابلیت « enable content» را فعال کنند، از آنها میخواهند تا روی یک آیکون آبی کلیک کنند تا بتوانند به طور کامل به سند دسترسی داشته باشند. با این کار پروندهی POM.exe از یک شی جاسازیشده که در پوشهی موقت سامانه ذخیره شده است، استخراج شده و اجرا میشود.
پژوهشگر Xiaopeng Zhang از شرکت Fortinet نشان داد که پروندهی اجرایی POM.exe در ویژوآل بیسیک نوشته شده است و به عنوان یک نصبکننده عمل میکند.
جاسوسافزار Agent Tesla برای جمعآوری دادههای کلیدهای فشردهشده، حافظهی کلیپبورد سامانه، صفحه نمایش، و گواهینامههای نرمافزارهای نصبشده طراحی شده است. این بدافزار برای انجام فعالیتهای مخرب خود تهدیدات متفاوت و توابع زمانبندی شدهای را در تابع اصلی ایجاد میکند.
نسخهی جدید این بدافزار دارای قابلیتهای مشترکی با نسخههای مشاهدهشدهی قبلی است، اما به جای درخواستهای POST پروتکل HTTP از پروتکل SMTPS برای ارسال دادههای جمعآوریشده به آدرس رایانامهی مهاجم استفاده میکند.
این پژوهشگر امنیتی توضیح داد: «بر اساس تحلیل من، دستورات استفادهشده در روش SMTP شامل Passwords Recovered، Screen Capture، و Keystrokes میباشد. این دستورات در قسمت عنوان رایانامه شناسایی شدهاند.»
مهاجم برای دریافت اطلاعات جمعآوریشده از طریق این جاسوسافزار، یک حساب رایانامهی رایگان Zoho برای این پویش ثبت کرده است. به گفتهی شرکت Fortinet، این ارائهدهندهی خدمات رایانامه از این سوء استفاده مطلع شده است.
منبع : news.asis.io
