Специалисты компании SentinelOne
, что новые версии малвари Agent Tesla оснащены модулями для кражи учетных данных из приложений, в том числе из браузеров, FTP и почтовых клиентов, а также VPN решений.
Исследователи отмечают, что Agent Tesla способен извлекать учетные данные конфигурационных и прочих файлов приложений, а также из реестра. Малварь интересуют: браузеры Google Chrome, Chromium, Safari, Mozilla Firefox и Brave; FTP-клиент FileZilla, почтовые клиенты Mozilla Thunderbird и Outlook, а также OpenVPN. Но только этими приложениями вредонос не ограничивается (полный список можно найти в конце этого материала).
Собрав на машине жертвы нужные учетные данные и информацию о настройках приложений, инфостилер отправляет их свой управляющий сервер через FTP или STMP.
Также эксперты пишут, что Agent Tesla нередко доставляет на зараженные машины дополнительные вредоносные бинарники или использует для этих целей уже существующие на целевых хостах и уязвимые файлы.
Agent Tesla — усовершенствованный RAT, то есть троян удаленного доступа, известный ИБ-экспертам с 2014 года. Вредоносная программа написана на .Net и способна отслеживать и собирать вводимые данные с клавиатуры жертвы, из буфера обмена, снимать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы. Также малварь может отключать антивирусные решения и процессы, которые пытаются анализировать ее и мешают работе.
Список приложений, которые атакует вредонос:
Исследователи отмечают, что Agent Tesla способен извлекать учетные данные конфигурационных и прочих файлов приложений, а также из реестра. Малварь интересуют: браузеры Google Chrome, Chromium, Safari, Mozilla Firefox и Brave; FTP-клиент FileZilla, почтовые клиенты Mozilla Thunderbird и Outlook, а также OpenVPN. Но только этими приложениями вредонос не ограничивается (полный список можно найти в конце этого материала).
Собрав на машине жертвы нужные учетные данные и информацию о настройках приложений, инфостилер отправляет их свой управляющий сервер через FTP или STMP.
Также эксперты пишут, что Agent Tesla нередко доставляет на зараженные машины дополнительные вредоносные бинарники или использует для этих целей уже существующие на целевых хостах и уязвимые файлы.
Agent Tesla — усовершенствованный RAT, то есть троян удаленного доступа, известный ИБ-экспертам с 2014 года. Вредоносная программа написана на .Net и способна отслеживать и собирать вводимые данные с клавиатуры жертвы, из буфера обмена, снимать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы. Также малварь может отключать антивирусные решения и процессы, которые пытаются анализировать ее и мешают работе.
Список приложений, которые атакует вредонос:
- 360 Browser
- Apple Safari
- Becky! Internet Mail
- BlackHawk
- Brave
- CentBrowser
- CFTP
- Chedot
- Chromium (general)
- Citrio
- Claws Mail
- Coccoc
- Comodo Dragon
- CoolNovo
- CoreFTP
- CyberFox
- Elements
- Epic Privacy
- FileZilla
- FlashFXP
- Flock
- Google Chrome
- IceCat
- IceDragon
- IncrediMail
- Iridium
- KMeleon
- Kometa
- Liebao
- Microsoft IE & Edge
- Microsoft Outlook
- Mozilla Firefox
- Mozilla Thunderbird
- OpenVPN
- Opera
- Opera Mail
- Orbitum
- PaleMoon
- Postbox
- QIP Surf
- Qualcomm Eudora
- SeaMonkey
- Sleipnir 6
- SmartFTP
- Sputnik
- Tencent QQBrowser
- The Bat! Email
- Torch
- Trillian Messenger
- UCBrowser
- Uran
- Vivaldi
- WaterFox
- WinSCP
- Yandex
