Njihuni me Agjentin Tesla Trojan ‘Kneecaps’, Ndërfaqja Anti-Malware e Microsoft-it
Studiuesit kanë identifikuar versione të reja të trojanit të aksesit në distancë Agent Tesla (RAT) që synojnë ndërfaqen anti-malware të Windows të përdorur nga shitësit e sigurisë për të mbrojtur PC-të nga sulmet. Variantet e zbuluara rishtas gjithashtu kanë adoptuar aftësi të reja të turbullirave, duke rritur aksionet për bizneset që të shmangin malware-in gjithnjë në zhvillim të Agent Tesla.
Kryesorja e azhurnimit është se malware tani synon ndërfaqen e software-it anti-malware të Microsoft (ASMI) në mënyrë që të shmangë zbulimin. ASMI lejon që aplikacionet dhe shërbimet të integrohen me çdo produkt antimalware që është i pranishëm në një makinë. Malware tani ka gjithashtu aftësinë e shtuar për të vendosur një klient Tor për të fshehur komunikimet e tij, si dhe duke përdorur aplikacionin e bisedës Telegram për të eksfiltruar të dhënat.
Të gjitha këto ndryshime e bëjnë edhe sandboxin dhe analizën statike dhe zbulimin e pikës fundore të malware më të vështirë, paralajmëruan studiuesit.
“Agjenti Tesla mbetet një kërcënim i qëndrueshëm – për shumë muaj, ai ka mbetur në mesin e familjeve kryesore të malware në bashkëngjitjet me qëllim të keq të kapur nga Sophos”, thanë studiuesit e Sophos të martën. “Për shkak të kësaj rryme të qëndrueshme të sulmeve të Agent Tesla, ne besojmë se malware do të vazhdojë të azhurnohet dhe modifikohet nga zhvilluesit e tij për t’iu shmangur mjeteve të mbrojtjes nga pika përfundimtare dhe e-mail.”
Agjenti Tesla erdhi për herë të parë në skenë në 2014, i specializuar në keylogging (i dizajnuar për të regjistruar goditje të tasteve të bëra nga një përdorues në mënyrë që të eksfiltronte të dhëna si kredencialet dhe më shumë) dhe vjedhje të të dhënave. Agjenti Tesla ka arritur historikisht në një email të dëmshëm spam si një bashkëngjitje.
Faza e parë e versionit më të ri të malware përfshin një shkarkues të bazuar në .NET. Shkarkuesi mbledh kodin e turbullt nga faqet e internetit si Pastebin dhe Hastebin (i cili promovon vetveten si një “alternativë me burim të hapur për Pastebin”). Kjo nuk është një taktikë e re, me Agjentin Tesla që më parë i është drejtuar një shërbimi të ligjshëm të ngjashëm me Pastebin për të shkarkuar malware.
Pastaj, instaluesi i Agjentit Tesla përpiqet të mbishkruaj kodin në AMSI të Microsoft. Së pari, shkarkuesi përpiqet të marrë adresën e kujtesës të AmsiScanBuffer (funksioni i Microsoft, i njohur gjithashtu si amsi.h, që skanon një tampon të plotë me përmbajtje për malware).
E bën këtë duke thirrur amsi.dll të Windows, duke përdorur funksionin Windows LoadLibraryA, për të marrë adresën bazë të DLL. Pastaj përdor funksionin GetProcAddress për të marrë adresën bazë dhe emrin e procedurës “AmsiScanBuffer” për të marrë adresën e funksionit.
Sapo Agjenti Tesla të marrë adresën e AmsiScanBuffer, ai rregullon 8 bajtët e para të funksionit në memorje. Kjo e detyron AMSI të kthejë një gabim (kodi 0x80070057), duke bërë që të gjitha skanimet e memorjes AMSI të duken të pavlefshme, sipas studiuesve.
“Ky kneecaps software mbrojtës të pikave fundore të mundësuara nga AMSI, duke i bërë ata në thelb të kalojnë skanimet e mëtejshme AMSI për asamble të ngarkuara dinamikisht brenda procesit Agent Tesla”, thanë studiuesit. “Meqenëse kjo ndodh herët gjatë ekzekutimit të shkarkuesit të fazës së parë, ajo jep çdo mbrojtje AMSI kundër përbërësve pasues të shkarkuesit, ngarkuesit të fazës së dytë dhe ngarkesës së agjentit Tesla vetë.”
Versioni i ri i Agjentit Tesla gjithashtu ka aftësitë e shtuara për vendosjen e një klienti Tor. Ky program falas, me burim të hapur, mundëson komunikim anonim – duke shërbyer si një mjet për Agjentin Tesla për të fshehur komunikimet e tij, thanë studiuesit.
“Nëse zgjidhet në skedarin e konfigurimit, malware shkarkon dhe instalon një klient Tor nga faqja zyrtare e Tor”, thanë studiuesit. Nëse klienti Tor është tashmë i pranishëm, ai vret procesin para se të instalojë një të ri dhe shkruan një skedar konfigurimi torrc nga vargjet e koduara të koduar në malware. “
Në versionin e ri Agent Telsa, zhvilluesit tani mund të kapin të dhëna nga kujtesa e Windows. Clipboard-i Windows është një hapësirë për ruajtjen e artikujve që janë prerë ose kopjuar; këto të dhëna mund të përfshijnë gjithçka, nga të dhëna të ndjeshme të kopjuara nga postat elektronike ose dokumentet, deri te fjalëkalimet. Këto të dhëna më pas dërgohen përsëri në serverin komandë-kontroll (C2).
Një ndryshim tjetër është se në versionin e ri të Agjentit Tesla, numri i aplikacioneve të synuara për korrjen e kredencialeve “është zgjeruar në mënyrë të konsiderueshme”.
Agjenti Tesla më parë synonte kredencialet nga aplikacione si Apple Safari, Chromium, Google Chrome, Iridium, Microsoft IE dhe Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera, Opera Mail, Qualcomm Eudora, Tencent QQBrowser dhe Yandex. Malware gjithashtu synon gjithashtu FTPNavigator (aplikacion interneti i bazuar në Windows që lehtëson