ГлавнаябезопасностьТроянский агент Tesla: для его распространения используются WIM-вложения

Троянский агент Tesla: для его распространения используются WIM-вложения

Агент угрозы использует необычное вложение (WIM) для обхода программного обеспечения безопасности для распространения трояна удаленного доступа Agent Tesla.

Агент Тесла

См. Также: Банковский троян Bizarro: нацелен на клиентов банков в Европе и Америке

По мере того, как защищенные почтовые порталы и программное обеспечение безопасности становятся все более совершенными и адаптируются к постоянно меняющимся фишинговым кампаниям, угрожающие агенты прибегают к более необычным форматам файлов, чтобы обойти обнаружение.

В прошлом фишинговые мошенничества превращались в необычные вложения, такие как файлы ISO или TAR, которые обычно не находились в виде вложений электронной почты.

Однако по мере того, как угрожающие агенты внедряют новые и необычные вложения, компании, занимающиеся кибербезопасностью, добавляют дополнительные средства обнаружения для их предотвращения.

См. Также: Троян QBot заменяет IcedID в кампаниях по борьбе со спамом!

Использование WIM для обхода безопасности

В новом отчете Trustwave исследователи объясняют, как опасный агент начал использовать вложения WIM (Windows Imaging Format) для распространения трояна удаленного доступа Agent Tesla.

«Все файлы WIM, которые мы собрали из наших образцов, содержат вредоносное ПО Agent Tesla. «Эта угроза представляет собой троянский удаленный доступ (RAT), написанный на .Net, который может получить полный контроль над скомпрометированной системой и может извлекать данные через HTTP, SMTP, FTP и Telegram», - объясняет на выставке Дайана Лопера, исследователь безопасности Trustwave.

Эти кампании начинаются с фишинговых писем, якобы отправляющих информацию от DHL или Alpha Trans, как показано ниже.

Электронные письма содержат вложения .wim (иногда оканчивающиеся на .wim или .wim.001), предназначенные для обхода программного обеспечения безопасности.

Windows Imaging Format (WIM) - это файловый формат образа диска, разработанный Microsoft для помощи в разработке Windows Vista и более новые операционные системы.

Файлы WIM используются для упаковки всего диска со всеми его файлами и папками в один файл для упрощения распространения.

См. Также: Жанелейро: новый банковский троян, нацеленный на организации и правительства.

Как вы можете видеть ниже, когда вы открываете одно из этих вложений WIM в шестнадцатеричном редакторе, оно ясно показывает, что в него заключен исполняемый файл.

Агент Тесла

Однако, хотя вероятность обнаружения файлов WIM может быть ниже, фишинговые кампании, в которых они используются, более проблематичны, поскольку Windows не имеет встроенного механизма для открытия файла WIM.

Поэтому, когда пользователь пытается открыть вложение в Windows, появляется сообщение с просьбой выбрать, какой программа откроет файл, как показано ниже.

Этот формат файла потребует от получателя изо всех сил экспортировать файл с помощью такой программы, как 7-молнии а затем дважды щелкните файл внутри него, что очень маловероятно.

Агент Тесла

При использовании необычного приспособления можно обойти некоторые фильтры безопасности, но это также палка о двух концах для хакера.

Безопасные почтовые порталы почти наверняка заблокируют эти вложения. Однако, если вы встретите электронное письмо с вложением WIM, просто удалите его, поскольку ни один законный поставщик услуг электронной почты не использует этот формат файла.

Источник информации: bleepingcomputer.com

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ