Matou te faʻaauau a matou faʻasologa o tala faʻapitoa i suʻesuʻega malware. IN I se vaega, na matou taʻuina atu le auala na faia ai e Ilya Pomerantsev, o se tagata tomai faapitoa i suʻesuʻega malware i le CERT Group-IB, se auiliiliga auiliili o se faila na maua mai i meli mai se tasi o kamupani Europa ma maua ai spyware iina. AgentTesla. I totonu o lenei tusiga, o loʻo tuʻuina atu e Ilya faʻaiʻuga o se suʻesuʻega i lea laasaga ma lea laasaga o le module autu AgentTesla.
Agent Tesla o se polokalama sipai modular tufatufaina faʻaaogaina se faʻataʻitaʻiga malware-as-a-auʻaunaga i lalo o le foliga o se oloa keylogger talafeagai. E mafai e le Agent Tesla ona su'e ma tu'uina atu fa'amatalaga fa'aoga mai tagata su'esu'e, fa'atau imeli ma tagata FTP i le 'au'aunaga i tagata osofa'i, fa'amaumau fa'amatalaga laupapa, ma pu'eina le mata o le masini. I le taimi o suʻesuʻega, o le upega tafaʻilagi aloaia a le au atiaʻe e leʻi maua.
Faiga faila
O le laulau o lo'o i lalo o lo'o lisiina ai galuega e fa'atatau i le fa'ata'ita'iga o lo'o e fa'aogaina:
| faʻamatalaga | tāua |
| Fu'a fa'aoga KeyLogger | moni |
| ScreenLogger fa'aoga fu'a | sese |
| KeyLogger log e lafo le va i minute | 20 |
| ScreenLogger log auina atu vaeluaga i minute | 20 |
| Fu'a e taulimaina ki tua. Sese – na'o le taina. Moni – tape le ki muamua | sese |
| ituaiga CNC. Filifiliga: smtp, webpanel, ftp | smtp |
| Fu'a fa'agaoioia o filo mo le fa'amutaina o faiga mai le lisi "%filter_list%" | sese |
| UAC disable fu'a | sese |
| Task manager tape le fu'a | sese |
| CMD disable fu'a | sese |
| Tamomoe fa'amalama disable fu'a | sese |
| Resitala Va'ai Fa'agata Fu'a | sese |
| Fa'agata le fu'a fa'ailoga fa'afouga | moni |
| Fa'atonu vaega fa'atapē le fu'a | sese |
| MSCONFIG tape le fu'a | sese |
| Fu'a e fa'amalo ai le lisi o fa'amatalaga i Explorer | sese |
| Pin fu'a | sese |
| Auala mo le kopiina o le module autu pe a pine i le faiga | %startupfolder% %infolder%%insname% |
| Fu'a mo le setiina o uiga "System" ma le "Natia" mo le vaega autu ua tofia i le faiga. | sese |
| Fu'a e toe amata ai pe a pine i le faiga | sese |
| Fu'a mo le fa'anofoina o le module autu i se faila le tumau | sese |
| UAC pasi fu'a | sese |
| Fa'asologa o aso ma taimi mo le fa'amauina | yyyy-MM-dd HH:mm:ss |
| Fu'a mo le fa'aogaina o se polokalame faamama mo KeyLogger | moni |
| Ituaiga o le fa'avasegaina o polokalame. 1 - o le igoa o le polokalame o loʻo suʻeina i ulutala faamalama 2 - o le igoa o le polokalama o loo sailia i le igoa faagasologa faamalama |
1 |
| Polokalama faamama | "facebook" "twitter" "gmail" "instagram" "tiea" "skype" "tuafafine" "hack" "whatsapp" "tete'e" |
Fa'apipi'i le module autu i le faiga
Afai e seti le fu'a fetaui, e kopi le module autu i le ala o loʻo faʻamaonia i le config e avea ma ala e tuʻuina atu i le faiga.
Faʻalagolago i le tau mai le config, o le faila e tuʻuina atu uiga "Natia" ma le "System".
Autorun e tuʻuina atu e lala resitala e lua:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Talu ai ona tui le bootloader i le faagasologa RegAsm, o le setiina o le fuʻa tumau mo le module autu e taʻitaʻia ai iʻuga manaia. Nai lo le kopiina o ia lava, na faʻapipiʻi e le malware le faila muamua i le polokalama RegAsm.exe, i le taimi na faia ai le tui.
Fegalegaleaiga ma le C&F
E tusa lava po o le a le auala e faʻaaogaina, fesoʻotaʻiga fesoʻotaʻiga e amata i le mauaina o le IP fafo o le tagata manua e faʻaaoga ai le punaoa [.]amazonaws[.]com/.
O lo'o fa'amatalaina i lalo auala feso'ota'iga feso'ota'iga o lo'o tu'uina atu i totonu o le polokalama.
itulau webpanel
O le fegalegaleaiga e faia e ala i le HTTP protocol. O le malware e faʻatino se talosaga POST ma ulutala nei:
- Tagata Fa'aaoga-Sui: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- So'oga: Tumau-Aola
- Ituaiga-Ituaiga: talosaga/x-www-form-urlencoded
O le tuatusi o le server e faʻamaonia e le tau %PostURL%. O le fe'au fa'ailoga e lafo i le parakalafa «P». O loʻo faʻamatalaina le faiga faʻailoga i le vaega "Fa'ailoga Fa'ailoga" (Metotia 2).
O le fe'au fa'asalalau e pei o lenei:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parakalafa ituaiga fa'aalia le ituaiga fe'au:
hwid - o se MD5 hash o loʻo faʻamauina mai le tau o le motherboard numera serial ma le ID processor. E masani ona faʻaaogaina e avea o se ID Faʻaaoga.
taimi - tautua e fa'asalalauina le taimi ma le aso.
pcname - faauigaina o <Igoa fa'aoga>/<Igoa komepiuta>.
logdata - fa'amaumauga o fa'amaumauga.
A fa'asalalauina upu fa'aulutalatala, e fa'apea le fe'au:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
O fa'amatalaga nei o fa'amaumauga na gaoia i le fa'asologa nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
smtp
O fegalegaleaiga e faia e ala i le SMTP protocol. O le tusi na lafoina o loʻo i le HTML format. Parameter TINO foliga mai:
O le ulutala o le tusi e iai le tulaga lautele: <IGOA O LE FA'A'OA'OGA>/<IGOA O LE KOMPUTERA> <I'OGA FA'AVAE>. O mea o loʻo i totonu o le tusi, faʻapea foʻi ma ona faʻapipiʻi, e le o faʻailoga.
O fegalegaleaiga e faia e ala i le FTP protocol. O se faila o loʻo iai le igoa e tuʻuina atu i le server faʻapitoa <IOGA FA'AVAE>_<IGOA O LE FA'A'OA'OGA>-<IGOA KOMPUTERA>_<ASO MA LE TAIMI>.html. O mea o lo'o i totonu o le faila e le o fa'ailoga.
Fa'ailoga algorithms
O lenei mataupu e fa'aogaina auala fa'ailoga nei:
Le auala 1
O lenei metotia e faʻaogaina e faʻapipiʻi ai manoa i totonu o le module autu. O le algorithm o loʻo faʻaaogaina mo faʻamatalaga o le AES.
O le fa'aoga o se numera ono-numera tesimale. O le suiga lea e faia i luga:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
O le tau e maua o le fa'ailoga mo le fa'asologa o fa'amaumauga fa'apipi'i.
O elemene ta'itasi o se fa'asologa DWORD. Pe a tuufaatasia DWORD e maua se fa'asologa o paita: o le 32 paita muamua o le fa'ailoga fa'ailoga, soso'o ai ma le 16 paita o le ulua'i ve'a, ma o paita o totoe o fa'amatalaga fa'ailoga.
Le auala 2
Algoritm fa'aaogaina 3DES i le faiga ECB fa'atasi ai ma fa'amau i paita atoa (PKCS7).
O le ki e faʻamaonia e le parakalafa %urlkey%, ae ui i lea, faʻamalamalamaga e faʻaogaina lona MD5 hash.
Faiga leaga
O le faʻataʻitaʻiga o loʻo suʻesuʻeina e faʻaaogaina polokalame nei e faʻatino ai lana galuega leaga:
logger ki
Afai e iai se fu'a leaga e fetaui ma le fa'aogaina o le galuega WinAPI SetWindowsHookEx atofa atu i lana lava tagata e fa'apipi'i mea e fai i luga o le piano. O le galuega fa'afoe e amata ile mauaina o le igoa ole fa'amalama galue.
Afai ua setiina le fu'a fa'amamaina o talosaga, e fa'atino le fa'amalieina e fa'atatau i le ituaiga fa'amaoti:
- e su'e le igoa o le polokalame i ulutala faamalama
- o le igoa o le polokalama o loo su'e i luga i le igoa faagasologa faamalama
O le isi, e faʻaopoopoina se faʻamaumauga i le ogalaau ma faʻamatalaga e uiga i le faamalama o loʻo galue i le faatulagaga:
Ona faamaumauina lea o faamatalaga e uiga i le ki oomi:
| Ki | Faamaumauga |
| Faʻatonu | Fa'alagolago ile fu'a fa'agaioiga ki Backspace: Sese – {BACK} Moni – tape le ki muamua |
| CAPSLOCK | {CAPSLOCK} |
| ESC | {ESC} |
| Itulau | {PageUp} |
| ifo | ↓ |
| aveese | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| Avanoa | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| TULAGA | {END} |
| F4 | {F4} |
| F2 | {F2} |
| ctrl | {CTRL} |
| F6 | {F6} |
| Tauagavale | → |
| Up | ↑ |
| F1 | {F1} |
| tauagavale | ← |
| Itulaulalo | {PageDown} |
| faaofi | {Fa'aofi} |
| mānumālō | {Manumalo} |
| Numlock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| AIGA | {AIGA} |
| UI | {ulufale} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| O isi ki | O le uiga o lo'o i luga po'o le mataitusi maualalo e fa'atatau i tulaga o le CapsLock ma Shift ki |
I se taimi faʻapitoa, o loʻo aoina le ogalaau e lafo i le 'auʻaunaga. Afai e le manuia le fesiitaiga, e teu le ogalaau i se faila %TEMP%log.tmp i le faatulagaga:
A mu le taimi, o le a faʻafeiloaʻi le faila i le server.
ScreenLogger
I se taimi faʻapitoa, e faia e le malware se faʻamalama i le faatulagaga Jpeg ma le uiga uiga tutusa ma le 50 ma sefe i se faila %APPDATA %<Fa'asologa fa'afuase'i o mataitusi e 10>.jpg. A maeʻa le fesiitaiga, e tape le faila.
ClipboardLogger
Afai ua setiina le fu'a talafeagai, e suitulaga i le tusitusiga ua taofia e tusa ai ma le laulau i lalo.
A maeʻa lenei mea, o le tusitusiga e tuʻuina i totonu o le ogalaau:
PasswordStealer
E mafai e le malware ona la'uina upu fa'aulu mai i talosaga nei:
| Saini | Tagata fa'atau meli | FTP tagata fa'atau |
| Chrome | vaʻaiga | FileZilla |
| Firefox | Thunderbird | WS_FTP |
| IE/Edge | Foxmail | WinSCP |
| safari | Opera Meli | CoreFTP |
| Opera Suʻesuʻe | Faʻafiafiaga | FTP Navigator |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | LePea | FTPCommander |
| Chromium | Pusa meli | |
| Torch | ClawsMail | |
| 7Star | ||
| Amigo | ||
| BraveSoftware | Jabber tagata fa'atau | VPN tagata fa'atau |
| CentBrowser | Psi/Psi+ | Tatala VPN |
| Chedot | ||
| CocCoc | ||
| Elemene su'esu'e | Lauga Pule | |
| Epic Privacy Browser | Initoneti Pule Download | |
| Kometa | JDownloader | |
| orbitum | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Flock Browser | ||
| UC Browser | ||
| BlackHawk | ||
| CyberFox | ||
| K-meleona | ||
| pusi aisa | ||
| tarakona aisa | ||
| PaleMoon | ||
| alope vai | ||
| Falcon Browser |
Fete'ena'iga i su'esu'ega malosi
- Fa'aaogaina o le galuega moe. Fa'ataga oe e fa'asolo nisi o pusa oneone i le taimi fa'agata
- Fa'aleagaina se filo Faʻailoga. Fa'atagaina oe e natia le mea moni o le siiina mai o se faila mai le Initaneti
- I le faataʻitaʻiga %filter_list% o lo'o fa'amaoti mai ai se lisi o fa'agasologa o le a fa'amutaina e le malware i va o le tasi sekone
- Alu ese UAC
- Fa'agata le pule o galuega
- Alu ese CMD
- Taofi se faamalama «Fa'afouga»
- Fa'agata le Vaega Pulea
- Taofi se meafaigaluega Puleaina
- Fa'aleaogaina vaega toe fa'afo'isia
- Fa'agata le lisi o fa'amatalaga i Explorer
- Alu ese MSCONFIG
- Ta'alo UAC:
O vaega le toaga o le module autu
I le taimi o le auʻiliʻiliga o le module autu, na faʻaalia galuega e nafa ma le faʻasalalauina i luga o le upega tafailagi ma le siakiina o le tulaga o le isumu.
Laʻu
O mea e tutupu mo le fa'afeso'ota'iina o ala fa'asalalau e mafai ona aveese e mata'ituina i se filo ese. A faʻafesoʻotaʻi, o le malware ma le igoa e kopiina i le aʻa o le faila faila scr.exe, a maeʻa ona suʻe lea mo faila ma le faʻaopoopoga lnk. Au a tagata uma lnk suiga i cmd.exe /c amata scr.exe&amata <poloaiga muamua>& alu ese.
O fa'atonuga ta'itasi i le a'a o le aufaasālalau ua tu'uina atu i ai se uiga "Natia" ma ua faia se faila ma le faʻaopoopoga lnk ma le igoa o le lisi natia ma le poloaiga cmd.exe /c amata scr.exe&explorer /root,"%CD%<DIRECTORY NAME>" & alu ese.
Mouse Tracker
O le auala mo le faʻaogaina o le faʻalavelave e tutusa ma le faʻaaogaina mo le piano. O lo'o fa'agasolo pea lenei fa'atinoga.
Gaoioiga faila
| ala | faʻamatalaga |
| %Temp%temp.tmp | O lo'o i ai se fa'ata mo taumafaiga a le UAC |
| %startupfolder%%infolder%%insname% | Auala e tofia i le HPE system |
| %Temp%tmpG{Taimi nei ile milliseconds}.tmp | Auala mo le faaleoleo o le module autu |
| %Temp%log.tmp | Faila faila |
| %AppData%{O se fa'asologa fa'atonu e 10 mataitusi}.jpeg | Screenshots |
| C:UsersPublic{O se fa'asologa fa'atonu e 10 mataitusi}.vbs | Auala i se faila vbs e mafai e le bootloader ona faʻaoga e faʻapipiʻi i le faiga |
| %Temp%{Custom folder name}{File name} | Auala e fa'aogaina e le bootloader e fa'apipi'i ai i le faiga |
Fa'ailoga tagata osofa'i
Faʻafetai i faʻamaumauga faʻamaonia faʻamaonia, na mafai ai ona matou maua le avanoa i le nofoaga autu o poloaiga.
O lenei mea na mafai ai ona matou iloa le imeli mulimuli a le au osofaʻi:
junaid[.]i***@gmail[.]com.
O le igoa ole igoa ole nofoaga autu e fa'atonu ai ua lesitala ile meli sg***@gmail[.]com.
iʻuga
I le taimi o se auiliiliga auʻiliʻili o mea leaga na faʻaaogaina i le osofaʻiga, na mafai ai ona matou faʻatuina lona faʻatinoga ma maua le lisi sili ona atoatoa o faʻailoga o le fetuunaiga talafeagai i lenei mataupu. O le malamalama i le faiga o fesoʻotaʻiga fesoʻotaʻiga i le va o malware na mafai ai ona tuʻuina atu fautuaga mo le fetuunaiga o le faʻaogaina o meafaigaluega mo le puipuiga o faʻamatalaga, faʻapea foʻi ma le tusiaina o tulafono IDS mautu.
Mata'utia autu AgentTesla pei o le DataStealer e le manaʻomia le tuʻuina atu i le polokalama pe faʻatali mo se faʻatonuga faʻatonu e faʻatino ana galuega. I luga o le masini, e vave amata ona aoina faʻamatalaga patino ma tuʻuina atu i le CnC. O lenei amioga fa'atupu vevesi i nisi o auala e tutusa ma le amio a le ransomware, ma na o le pau le eseesega o le mea mulimuli e le manaʻomia se fesoʻotaʻiga fesoʻotaʻiga. Afai e te fetaiaʻi ma lenei aiga, pe a uma ona faʻamamāina le faʻamaʻi pipisi mai le malware lava ia, e tatau ona e suia uma upu faʻaulu e mafai, a itiiti ifo i le talitonuga, faʻasaoina i se tasi o talosaga o loʻo lisiina i luga.
Va'ai i luma, se'i tatou fai atu o lo'o auina atu e le au osofa'i AgentTesla, o le uluaʻi faʻapipiʻi faʻaulu e suia soo. Ole mea lea e fa'atagaina ai oe e tumau le le iloa e su'esu'ega fa'amau ma su'esu'ega heuristic i le taimi o le osofa'iga. Ma o le uiga o lenei aiga e vave amata a latou gaioiga e le aoga ai masini siaki. Ole auala sili e faʻafefe ai AgentTesla ole suʻesuʻega muamua ile pusa oneone.
I le mataupu lona tolu o lenei faasologa o le a tatou vaʻavaʻai i isi bootloaders faʻaaogaina AgentTesla, ma su'esu'e fo'i le fa'agasologa o le latou fa'amavaeina fa'ato'a. Aua le misia!
Hash
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| Resitala |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Script name} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
Faʻaletonu
E leai ni fa'ailoga.
faila
| Gaoioiga faila |
| %Temp%temp.tmp |
| %startupfolder%%infolder%%insname% |
| %Temp%tmpG{Taimi nei ile milliseconds}.tmp |
| %Temp%log.tmp |
| %AppData%{O se fa'asologa fa'atonu e 10 mataitusi}.jpeg |
| C:UsersPublic{O se fa'asologa fa'atonu e 10 mataitusi}.vbs |
| %Temp%{Custom folder name}{File name} |
Fa'amatalaga Fa'ata'ita'i
| igoa | Leiloa |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| ituaiga | PE (.NET) |
| fua | 327680 |
| Uluai Igoa | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| DateStamp | 01.07.2019 |
| Tagata faʻatau | VB.NET |
| igoa | IELlibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| ituaiga | PE (.NET DLL) |
| fua | 16896 |
| Uluai Igoa | IELlibrary.dll |
| DateStamp | 11.10.2016 |
| Tagata faʻatau | Microsoft Linker(48.0*) |
puna: www.habr.com