رصد برمجيات خبيثة اعتمدتها Agent Tesla للوصول إلى المعلومات و مراقبة ضحاياها

كشف باحثون أمنيون عن تقنيات جديدة للتسليم والتهرب التي اعتمدها Agent Tesla من أجل الوصول للمعلومات عن بعد ومراقبة ضحاياها.

كما تنتشر برامج التجسس التي تعمل بنظام windows من خلال إغراءات الهندسة الإجتماعية وهي لا تستهدف فقط واجهة المسح الضوئي من Micosoft في محاولة لهزيمة البرامج الضارة وحماية البرمجيات، بل إنها تستخدم عملية تثبيت متعددة المراحل وتستفيد من واجهة تطبيقات Tor و Telegram للتواصل مع خوادم القيادة والتحكم.

و أكدت شركة الأمن الإلكتروني التي لاحظت نسختين من Agent Tesla ، إن التغييرات هي علامة أخرى على التطور المستمر لAgent Tesla من أجل عملية الحماية والتحليل الثابت وجعلهم أكثر صعوبة.

كما لاحظت الأبحاث ” أن الاختلافات التي نراها بين الإصدارين الثاني والثالت من Agent Tesla تركز على تحسين معدل نجاح البرامج الضارة ضد دفاعات الحماية والماسحات الضوئية للبرامج الضارة ، وعلى توفير المزيد من خيارات C2 لعملائها المهاجمين “.

قد تم نشر برنامج keylogger من Agent Tesla ،و يتميز بسرقة المعلومات مع ميزات إضافية مدمجة تسمح له بمرور الوقت مراقبة مدخلات لوحة مفاتيح الضحية وجمعها ، والتقاط لقطات شاشة ، واستخراج بيانات الاعتماد التي تنتمي إلى مجموعة متنوعة من البرامج مثل عملاء VPN و FTP وعملاء البريد الإلكتروني ومتصفحات الويب.

تم العثور على نوع مختلف من البرامج الضارة في مايو الماضي ، أثناء ذروة الوباء ، منتشر عبر حملات البريد العشوائي التي تحمل عنوان COVID لسرقة كلمات مرور Wi-Fi مع معلومات أخرى مثل بيانات اعتماد البريد الإلكتروني في Outlook .

ثم في أغسطس 2020 ، زاد الإصدار الثاني من البرنامج Agent Tesla عدد التطبيقات المستهدفة لسرقة بيانات الاعتماد إلى 55 ، وتم نقل نتائجها بعد ذلك إلى خادم يتحكم فيه المهاجم عبر SMTP أو FTP.

و بينما تم اكتشاف استخدام SMTP لإرسال المعلومات إلى خادم بريد يتحكم فيه المهاجم في عام 2018 ، تم العثور على أحد الإصدارات الجديدة التي حددتها Sophos أيضًا للاستفادة من وكيل Tor لاتصالات HTTP وتطبيق Telegram’s لنقل المعلومات إلى غرفة دردشة خاصة.

بالإضافة إلى ذلك ، تلقت عملية تثبيت البرامج الضارة متعددة المراحل من Agent Tesla ترقية كبيرة ، حيث يحاول تطبيق تحميل البرامج الضارة في المرحلة الأولى الآن تعديل التعليمات البرمجية في AMSI في محاولة لتخطي عمليات المسح للبيانات الخبيثة للمرحلة الثانية التي تم جلبها من Pastebin أو Hastebin.

AMSI هو معيار يسمح بتكامل التطبيقات والخدمات مع أي منتج مضاد للبرامج الضارة موجود على جهاز يعمل بنظام Windows.
وكما أوضح الباحثون، و من أجل تحقيق الثبات ، ينسخ البرنامج الضار نفسه إلى مجلد ويضبط سمات هذا المجلد على “Hidden” و “System” من أجل إخفاءه عن العرض في Windows Explorer .

بالإضافة إلى أن حسابات البريد الإلكتروني المستخدمة لنشر Agent Tesla غالبًا ما تكون حسابات شرعية تم اختراقها. و يجب على المؤسسات والأفراد دائمًا التعامل مع مرفقات البريد الإلكتروني من مرسلين غير معروفين بحذر ، والتحقق من المرفقات قبل فتحها.