Новый образец Agent Tesla атакует Windows в фишинговых рассылках

Екатерина Быстрова 08 Июня 2021 - 09:42

Домашние пользователи

Умышленные утечки информации

Кража данных

...

Новый образец Agent Tesla атакует Windows в фишинговых рассылках

Фишинговая кампания, замеченная недавно исследователями по информационной безопасности, доставляет жертвам новый вариант старого трояна, открывающего злоумышленникам удалённый доступ (RAT). Основная цель операторов вредоноса — выкрасть имена пользователей, пароли и другую конфиденциальную информацию.

Речь идёт о зловреде Agent Tesla, который впервые попался специалистам в 2014 году. Создатели трояна делали изначальный упор на кражу учётных данных из Windows. Для этого вредоносная программа использовала кейлогер, отправляющий каждое нажатие клавиши жертвы злоумышленнику.

В новом исследовании компании Fortinet эксперты описывают новый вариант Agent Tesla, который доставляется на компьютеры пользователей посредством фишинговых электронных писем. Сами письма замаскированы под деловую переписку и содержат вложение в виде файла формата Microsoft Excel.

Само собой, в документе есть вредоносный макрос, который при запуске скачивает и устанавливает в систему жертвы Agent Tesla. В целом цепочка заражения состоит из множества ступеней: загрузки файлов PowerShell, запуск скрипта VBS и создания запланированного задания (позволяет маскировать мониторинг активности пользователя). Проанализированный специалистами образец пингует оператора каждые 20 минут.

Помимо этого, вредоносная программа вполне успешно шерстит по Bitcoin-кошелькам жертв и модифицирует адрес, по которому атакованный пользователь пытается перевести криптовалюту. Интересно, что на киберпреступных форумах можно приобрести лицензию на использование Agent Tesla всего за 15 долларов.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 28 Июля 2025 - 18:53

Атаки на сайты Целевые атаки Таргетированные атаки Сбои программ Сбои оборудования Общее

По стопам Аэрофлота: не работают сайт и приложение «Госуслуг»

Утром 28 июля пользователи по всей России столкнулись со сбоями в работе портала «Госуслуги» — не открывался сайт, не грузилось мобильное приложение, а кое-где и вовсе не работал личный кабинет и сервис оповещений. На проблемы массово пожаловались жители Москвы, Санкт-Петербурга, Нижегородской области, ХМАО и Свердловской области.

Информацию подтверждает сервис Downdetector.

Тем временем с похожими трудностями столкнулась и авиакомпания «Аэрофлот». В утренние часы там случился сбой в работе информационных систем, что привело к сбоям в цифровых сервисах и возможным задержкам и отменам рейсов. Пассажирам рекомендовали следить за актуальной информацией по вылетам и быть готовыми к временным неудобствам.

Позже в этот же день хактивистская группировка Silent Crow взяла на себя ответственность за атаку на ИТ-инфраструктуру перевозчика. По их словам, им удалось получить доступ к 122 внутренним системам, включая данные сотрудников и клиентов.

О масштабной кибератаке стало известно утром, и уже через 40 минут после первых признаков сбоя злоумышленники опубликовали заявление об атаке.

Случайность или звенья одной цепи — пока вопрос открытый. Но день для цифровых сервисов в России явно выдался неспокойным.