E-posta Saldırılarında ZPAQ Sıkıştırmasını Kullanan Yeni Ajan Tesla Kötü Amaçlı Yazılım Varyantı
Agent Tesla kötü amaçlı yazılımının yeni bir varyantının, birkaç e-posta istemcisinden ve yaklaşık 40 web tarayıcısından veri toplamak için ZPAQ sıkıştırma formatına sahip bir cazibe dosyası aracılığıyla teslim edildiği gözlemlendi.
G Data kötü amaçlı yazılım analisti Anna Lvova Pazartesi günü yaptığı bir analizde, "ZPAQ, ZIP ve RAR gibi yaygın olarak kullanılan formatlara kıyasla daha iyi bir sıkıştırma oranı ve günlük kaydı işlevi sunan bir dosya sıkıştırma formatıdır" dedi.
"Bu, ZPAQ arşivlerinin daha küçük olabileceği, dosya aktarırken depolama alanından ve bant genişliğinden tasarruf edebileceği anlamına geliyor. Ancak ZPAQ'ın en büyük dezavantajı var: sınırlı yazılım desteği."
İlk olarak 2014 yılında ortaya çıkan Agent Tesla, hizmet olarak kötü amaçlı yazılım (MaaS) modelinin bir parçası olarak diğer tehdit aktörlerine sunulan, .NET ile yazılmış bir keylogger ve uzaktan erişim truva atıdır (RAT).
Genellikle birinci aşama yükü olarak kullanılır, güvenliği ihlal edilmiş bir sisteme uzaktan erişim sağlar ve fidye yazılımı gibi daha karmaşık ikinci aşama araçları indirmek için kullanılır.
Ajan Tesla, genellikle kimlik avı e-postaları yoluyla gönderilir ve son kampanyalar, Microsoft Office'in Denklem Düzenleyicisi'ndeki (CVE-2017-11882) altı yıllık bir bellek bozulması güvenlik açığından yararlanır.
En son saldırı zinciri, bir PDF belgesi olduğu iddia edilen bir ZPAQ dosya eki içeren bir e-postayla başlar ve geleneksel güvenlik önlemlerini atlamak için örnek boyutunu yapay olarak 1 GB'a şişirmek için çoğunlukla sıfır baytla doldurulmuş şişirilmiş bir .NET yürütülebilir dosyasını ayıklar.
Lvova, "Arşivlenmemiş .NET yürütülebilir dosyasının ana işlevi, .wav uzantılı bir dosyayı indirmek ve şifresini çözmektir" dedi. "Yaygın olarak kullanılan dosya uzantılarını kullanmak, trafiği normal şekilde gizleyerek ağ güvenlik çözümlerinin kötü amaçlı etkinlikleri tespit etmesini ve önlemesini zorlaştırıyor."
Saldırının nihai amacı, uç noktaya meşru bir kod koruma yazılımı olan .NET Reactor ile gizlenmiş Agent Tesla'yı bulaştırmaktır. Komuta ve kontrol (C2) iletişimleri Telegram üzerinden gerçekleştirilir.
Gelişme, tehdit aktörlerinin kötü amaçlı yazılım dağıtımı için alışılmadık dosya biçimlerini denediğinin bir işaretidir ve kullanıcıların şüpheli e-postalara karşı tetikte olmalarını ve sistemlerini güncel tutmalarını gerektirir.
Lvova, "ZPAQ sıkıştırma formatının kullanımı, cevaplardan daha fazla soru ortaya çıkarıyor" dedi. "Buradaki varsayımlar, tehdit aktörlerinin teknik bilgiye sahip belirli bir grup insanı hedef aldığı veya daha az bilinen arşiv araçlarını kullandığı veya kötü amaçlı yazılımları daha hızlı yaymak ve güvenlik yazılımlarını atlamak için diğer teknikleri test ettikleri yönünde."
Benzer Haberler
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi
Crypt Ghouls, LockBit 3.0 ve Babuk Fidye Yazılımı Saldırılarıyla Rus Firmalarını Hedef Alıyor
AB Mahkemesi, Meta'nın Kişisel Facebook Verilerini Hedefli Reklamlar İçin Kullanmasını Sınırladı
ABD, Büyük Dezenformasyon Baskısında 32 Rus Yanlısı Propaganda Alanını Ele Geçirdi