Matou te faʻaauau a matou faʻasologa o tala faʻapitoa i suʻesuʻega malware. IN
Agent Tesla o se polokalama sipai modular tufatufaina faʻaaogaina se faʻataʻitaʻiga malware-as-a-auʻaunaga i lalo o le foliga o se oloa keylogger talafeagai. E mafai e le Agent Tesla ona su'e ma tu'uina atu fa'amatalaga fa'aoga mai tagata su'esu'e, fa'atau imeli ma tagata FTP i le 'au'aunaga i tagata osofa'i, fa'amaumau fa'amatalaga laupapa, ma pu'eina le mata o le masini. I le taimi o suʻesuʻega, o le upega tafaʻilagi aloaia a le au atiaʻe e leʻi maua.
Faiga faila
O le laulau o lo'o i lalo o lo'o lisiina ai galuega e fa'atatau i le fa'ata'ita'iga o lo'o e fa'aogaina:
faʻamatalaga | tāua |
Fu'a fa'aoga KeyLogger | moni |
ScreenLogger fa'aoga fu'a | sese |
KeyLogger log e lafo le va i minute | 20 |
ScreenLogger log auina atu vaeluaga i minute | 20 |
Fu'a e taulimaina ki tua. Sese – na'o le taina. Moni – tape le ki muamua | sese |
ituaiga CNC. Filifiliga: smtp, webpanel, ftp | smtp |
Fu'a fa'agaoioia o filo mo le fa'amutaina o faiga mai le lisi "%filter_list%" | sese |
UAC disable fu'a | sese |
Task manager tape le fu'a | sese |
CMD disable fu'a | sese |
Tamomoe fa'amalama disable fu'a | sese |
Resitala Va'ai Fa'agata Fu'a | sese |
Fa'agata le fu'a fa'ailoga fa'afouga | moni |
Fa'atonu vaega fa'atapē le fu'a | sese |
MSCONFIG tape le fu'a | sese |
Fu'a e fa'amalo ai le lisi o fa'amatalaga i Explorer | sese |
Pin fu'a | sese |
Auala mo le kopiina o le module autu pe a pine i le faiga | %startupfolder% %infolder%%insname% |
Fu'a mo le setiina o uiga "System" ma le "Natia" mo le vaega autu ua tofia i le faiga. | sese |
Fu'a e toe amata ai pe a pine i le faiga | sese |
Fu'a mo le fa'anofoina o le module autu i se faila le tumau | sese |
UAC pasi fu'a | sese |
Fa'asologa o aso ma taimi mo le fa'amauina | yyyy-MM-dd HH:mm:ss |
Fu'a mo le fa'aogaina o se polokalame faamama mo KeyLogger | moni |
Ituaiga o le fa'avasegaina o polokalame. 1 - o le igoa o le polokalame o loʻo suʻeina i ulutala faamalama 2 - o le igoa o le polokalama o loo sailia i le igoa faagasologa faamalama |
1 |
Polokalama faamama | "facebook" "twitter" "gmail" "instagram" "tiea" "skype" "tuafafine" "hack" "whatsapp" "tete'e" |
Fa'apipi'i le module autu i le faiga
Afai e seti le fu'a fetaui, e kopi le module autu i le ala o loʻo faʻamaonia i le config e avea ma ala e tuʻuina atu i le faiga.
Faʻalagolago i le tau mai le config, o le faila e tuʻuina atu uiga "Natia" ma le "System".
Autorun e tuʻuina atu e lala resitala e lua:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Talu ai ona tui le bootloader i le faagasologa RegAsm, o le setiina o le fuʻa tumau mo le module autu e taʻitaʻia ai iʻuga manaia. Nai lo le kopiina o ia lava, na faʻapipiʻi e le malware le faila muamua i le polokalama RegAsm.exe, i le taimi na faia ai le tui.
Fegalegaleaiga ma le C&F
E tusa lava po o le a le auala e faʻaaogaina, fesoʻotaʻiga fesoʻotaʻiga e amata i le mauaina o le IP fafo o le tagata manua e faʻaaoga ai le punaoa
O lo'o fa'amatalaina i lalo auala feso'ota'iga feso'ota'iga o lo'o tu'uina atu i totonu o le polokalama.
itulau webpanel
O le fegalegaleaiga e faia e ala i le HTTP protocol. O le malware e faʻatino se talosaga POST ma ulutala nei:
- Tagata Fa'aaoga-Sui: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- So'oga: Tumau-Aola
- Ituaiga-Ituaiga: talosaga/x-www-form-urlencoded
O le tuatusi o le server e faʻamaonia e le tau %PostURL%. O le fe'au fa'ailoga e lafo i le parakalafa «P». O loʻo faʻamatalaina le faiga faʻailoga i le vaega "Fa'ailoga Fa'ailoga" (Metotia 2).
O le fe'au fa'asalalau e pei o lenei:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parakalafa ituaiga fa'aalia le ituaiga fe'au:
hwid - o se MD5 hash o loʻo faʻamauina mai le tau o le motherboard numera serial ma le ID processor. E masani ona faʻaaogaina e avea o se ID Faʻaaoga.
taimi - tautua e fa'asalalauina le taimi ma le aso.
pcname - faauigaina o <Igoa fa'aoga>/<Igoa komepiuta>.
logdata - fa'amaumauga o fa'amaumauga.
A fa'asalalauina upu fa'aulutalatala, e fa'apea le fe'au:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
O fa'amatalaga nei o fa'amaumauga na gaoia i le fa'asologa nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
smtp
O fegalegaleaiga e faia e ala i le SMTP protocol. O le tusi na lafoina o loʻo i le HTML format. Parameter TINO foliga mai:
O le ulutala o le tusi e iai le tulaga lautele: <IGOA O LE FA'A'OA'OGA>/<IGOA O LE KOMPUTERA> <I'OGA FA'AVAE>. O mea o loʻo i totonu o le tusi, faʻapea foʻi ma ona faʻapipiʻi, e le o faʻailoga.
O fegalegaleaiga e faia e ala i le FTP protocol. O se faila o loʻo iai le igoa e tuʻuina atu i le server faʻapitoa <IOGA FA'AVAE>_<IGOA O LE FA'A'OA'OGA>-<IGOA KOMPUTERA>_<ASO MA LE TAIMI>.html. O mea o lo'o i totonu o le faila e le o fa'ailoga.
Fa'ailoga algorithms
O lenei mataupu e fa'aogaina auala fa'ailoga nei:
Le auala 1
O lenei metotia e faʻaogaina e faʻapipiʻi ai manoa i totonu o le module autu. O le algorithm o loʻo faʻaaogaina mo faʻamatalaga o le AES.
O le fa'aoga o se numera ono-numera tesimale. O le suiga lea e faia i luga:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
O le tau e maua o le fa'ailoga mo le fa'asologa o fa'amaumauga fa'apipi'i.
O elemene ta'itasi o se fa'asologa DWORD. Pe a tuufaatasia DWORD e maua se fa'asologa o paita: o le 32 paita muamua o le fa'ailoga fa'ailoga, soso'o ai ma le 16 paita o le ulua'i ve'a, ma o paita o totoe o fa'amatalaga fa'ailoga.
Le auala 2
Algoritm fa'aaogaina 3DES i le faiga ECB fa'atasi ai ma fa'amau i paita atoa (PKCS7).
O le ki e faʻamaonia e le parakalafa %urlkey%, ae ui i lea, faʻamalamalamaga e faʻaogaina lona MD5 hash.
Faiga leaga
O le faʻataʻitaʻiga o loʻo suʻesuʻeina e faʻaaogaina polokalame nei e faʻatino ai lana galuega leaga:
logger ki
Afai e iai se fu'a leaga e fetaui ma le fa'aogaina o le galuega WinAPI SetWindowsHookEx atofa atu i lana lava tagata e fa'apipi'i mea e fai i luga o le piano. O le galuega fa'afoe e amata ile mauaina o le igoa ole fa'amalama galue.
Afai ua setiina le fu'a fa'amamaina o talosaga, e fa'atino le fa'amalieina e fa'atatau i le ituaiga fa'amaoti:
- e su'e le igoa o le polokalame i ulutala faamalama
- o le igoa o le polokalama o loo su'e i luga i le igoa faagasologa faamalama
O le isi, e faʻaopoopoina se faʻamaumauga i le ogalaau ma faʻamatalaga e uiga i le faamalama o loʻo galue i le faatulagaga:
Ona faamaumauina lea o faamatalaga e uiga i le ki oomi:
Ki | Faamaumauga |
Faʻatonu | Fa'alagolago ile fu'a fa'agaioiga ki Backspace: Sese – {BACK} Moni – tape le ki muamua |
CAPSLOCK | {CAPSLOCK} |
ESC | {ESC} |
Itulau | {PageUp} |
ifo | ↓ |
aveese | {DEL} |
" | " |
F5 | {F5} |
& | & |
F10 | {F10} |
TAB | {TAB} |
< | < |
> | > |
Avanoa | |
F8 | {F8} |
F12 | {F12} |
F9 | {F9} |
ALT + TAB | {ALT+TAB} |
TULAGA | {END} |
F4 | {F4} |
F2 | {F2} |
ctrl | {CTRL} |
F6 | {F6} |
Tauagavale | → |
Up | ↑ |
F1 | {F1} |
tauagavale | ← |
Itulaulalo | {PageDown} |
faaofi | {Fa'aofi} |
mānumālō | {Manumalo} |
Numlock | {NumLock} |
F11 | {F11} |
F3 | {F3} |
AIGA | {AIGA} |
UI | {ulufale} |
ALT + F4 | {ALT+F4} |
F7 | {F7} |
O isi ki | O le uiga o lo'o i luga po'o le mataitusi maualalo e fa'atatau i tulaga o le CapsLock ma Shift ki |
I se taimi faʻapitoa, o loʻo aoina le ogalaau e lafo i le 'auʻaunaga. Afai e le manuia le fesiitaiga, e teu le ogalaau i se faila %TEMP%log.tmp i le faatulagaga:
A mu le taimi, o le a faʻafeiloaʻi le faila i le server.
ScreenLogger
I se taimi faʻapitoa, e faia e le malware se faʻamalama i le faatulagaga Jpeg ma le uiga uiga tutusa ma le 50 ma sefe i se faila %APPDATA %<Fa'asologa fa'afuase'i o mataitusi e 10>.jpg. A maeʻa le fesiitaiga, e tape le faila.
ClipboardLogger
Afai ua setiina le fu'a talafeagai, e suitulaga i le tusitusiga ua taofia e tusa ai ma le laulau i lalo.
A maeʻa lenei mea, o le tusitusiga e tuʻuina i totonu o le ogalaau:
PasswordStealer
E mafai e le malware ona la'uina upu fa'aulu mai i talosaga nei:
Saini | Tagata fa'atau meli | FTP tagata fa'atau |
Chrome | vaʻaiga | FileZilla |
Firefox | Thunderbird | WS_FTP |
IE/Edge | Foxmail | WinSCP |
safari | Opera Meli | CoreFTP |
Opera Suʻesuʻe | Faʻafiafiaga | FTP Navigator |
Yandex | Pocomail | FlashFXP |
Comodo | Eudora | SmartFTP |
ChromePlus | LePea | FTPCommander |
Chromium | Pusa meli | |
Torch | ClawsMail | |
7Star | ||
Amigo | ||
BraveSoftware | Jabber tagata fa'atau | VPN tagata fa'atau |
CentBrowser | Psi/Psi+ | Tatala VPN |
Chedot | ||
CocCoc | ||
Elemene su'esu'e | Lauga Pule | |
Epic Privacy Browser | Initoneti Pule Download | |
Kometa | JDownloader | |
orbitum | ||
Sputnik | ||
uCozMedia | ||
Vivaldi | ||
SeaMonkey | ||
Flock Browser | ||
UC Browser | ||
BlackHawk | ||
CyberFox | ||
K-meleona | ||
pusi aisa | ||
tarakona aisa | ||
PaleMoon | ||
alope vai | ||
Falcon Browser |
Fete'ena'iga i su'esu'ega malosi
- Fa'aaogaina o le galuega moe. Fa'ataga oe e fa'asolo nisi o pusa oneone i le taimi fa'agata
- Fa'aleagaina se filo Faʻailoga. Fa'atagaina oe e natia le mea moni o le siiina mai o se faila mai le Initaneti
- I le faataʻitaʻiga %filter_list% o lo'o fa'amaoti mai ai se lisi o fa'agasologa o le a fa'amutaina e le malware i va o le tasi sekone
- Alu ese UAC
- Fa'agata le pule o galuega
- Alu ese CMD
- Taofi se faamalama «Fa'afouga»
- Fa'agata le Vaega Pulea
- Taofi se meafaigaluega Puleaina
- Fa'aleaogaina vaega toe fa'afo'isia
- Fa'agata le lisi o fa'amatalaga i Explorer
- Alu ese MSCONFIG
- Ta'alo UAC:
O vaega le toaga o le module autu
I le taimi o le auʻiliʻiliga o le module autu, na faʻaalia galuega e nafa ma le faʻasalalauina i luga o le upega tafailagi ma le siakiina o le tulaga o le isumu.
Laʻu
O mea e tutupu mo le fa'afeso'ota'iina o ala fa'asalalau e mafai ona aveese e mata'ituina i se filo ese. A faʻafesoʻotaʻi, o le malware ma le igoa e kopiina i le aʻa o le faila faila scr.exe, a maeʻa ona suʻe lea mo faila ma le faʻaopoopoga lnk. Au a tagata uma lnk suiga i cmd.exe /c amata scr.exe&amata <poloaiga muamua>& alu ese.
O fa'atonuga ta'itasi i le a'a o le aufaasālalau ua tu'uina atu i ai se uiga "Natia" ma ua faia se faila ma le faʻaopoopoga lnk ma le igoa o le lisi natia ma le poloaiga cmd.exe /c amata scr.exe&explorer /root,"%CD%<DIRECTORY NAME>" & alu ese.
Mouse Tracker
O le auala mo le faʻaogaina o le faʻalavelave e tutusa ma le faʻaaogaina mo le piano. O lo'o fa'agasolo pea lenei fa'atinoga.
Gaoioiga faila
ala | faʻamatalaga |
%Temp%temp.tmp | O lo'o i ai se fa'ata mo taumafaiga a le UAC |
%startupfolder%%infolder%%insname% | Auala e tofia i le HPE system |
%Temp%tmpG{Taimi nei ile milliseconds}.tmp | Auala mo le faaleoleo o le module autu |
%Temp%log.tmp | Faila faila |
%AppData%{O se fa'asologa fa'atonu e 10 mataitusi}.jpeg | Screenshots |
C:UsersPublic{O se fa'asologa fa'atonu e 10 mataitusi}.vbs | Auala i se faila vbs e mafai e le bootloader ona faʻaoga e faʻapipiʻi i le faiga |
%Temp%{Custom folder name}{File name} | Auala e fa'aogaina e le bootloader e fa'apipi'i ai i le faiga |
Fa'ailoga tagata osofa'i
Faʻafetai i faʻamaumauga faʻamaonia faʻamaonia, na mafai ai ona matou maua le avanoa i le nofoaga autu o poloaiga.
O lenei mea na mafai ai ona matou iloa le imeli mulimuli a le au osofaʻi:
junaid[.]i***@gmail[.]com.
O le igoa ole igoa ole nofoaga autu e fa'atonu ai ua lesitala ile meli sg***@gmail[.]com.
iʻuga
I le taimi o se auiliiliga auʻiliʻili o mea leaga na faʻaaogaina i le osofaʻiga, na mafai ai ona matou faʻatuina lona faʻatinoga ma maua le lisi sili ona atoatoa o faʻailoga o le fetuunaiga talafeagai i lenei mataupu. O le malamalama i le faiga o fesoʻotaʻiga fesoʻotaʻiga i le va o malware na mafai ai ona tuʻuina atu fautuaga mo le fetuunaiga o le faʻaogaina o meafaigaluega mo le puipuiga o faʻamatalaga, faʻapea foʻi ma le tusiaina o tulafono IDS mautu.
Mata'utia autu AgentTesla pei o le DataStealer e le manaʻomia le tuʻuina atu i le polokalama pe faʻatali mo se faʻatonuga faʻatonu e faʻatino ana galuega. I luga o le masini, e vave amata ona aoina faʻamatalaga patino ma tuʻuina atu i le CnC. O lenei amioga fa'atupu vevesi i nisi o auala e tutusa ma le amio a le ransomware, ma na o le pau le eseesega o le mea mulimuli e le manaʻomia se fesoʻotaʻiga fesoʻotaʻiga. Afai e te fetaiaʻi ma lenei aiga, pe a uma ona faʻamamāina le faʻamaʻi pipisi mai le malware lava ia, e tatau ona e suia uma upu faʻaulu e mafai, a itiiti ifo i le talitonuga, faʻasaoina i se tasi o talosaga o loʻo lisiina i luga.
Va'ai i luma, se'i tatou fai atu o lo'o auina atu e le au osofa'i AgentTesla, o le uluaʻi faʻapipiʻi faʻaulu e suia soo. Ole mea lea e fa'atagaina ai oe e tumau le le iloa e su'esu'ega fa'amau ma su'esu'ega heuristic i le taimi o le osofa'iga. Ma o le uiga o lenei aiga e vave amata a latou gaioiga e le aoga ai masini siaki. Ole auala sili e faʻafefe ai AgentTesla ole suʻesuʻega muamua ile pusa oneone.
I le mataupu lona tolu o lenei faasologa o le a tatou vaʻavaʻai i isi bootloaders faʻaaogaina AgentTesla, ma su'esu'e fo'i le fa'agasologa o le latou fa'amavaeina fa'ato'a. Aua le misia!
Hash
SHA1 |
A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
8010CC2AF398F9F951555F7D481CE13DF60BBECF |
79B445DE923C92BF378B19D12A309C0E9C5851BF |
15839B7AB0417FA35F2858722F0BD47BDF840D62 |
1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
URL |
sina-c0m[.]icu |
smtp[.]sina-c0m[.]icu |
RegKey
Resitala |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Script name} |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
Faʻaletonu
E leai ni fa'ailoga.
faila
Gaoioiga faila |
%Temp%temp.tmp |
%startupfolder%%infolder%%insname% |
%Temp%tmpG{Taimi nei ile milliseconds}.tmp |
%Temp%log.tmp |
%AppData%{O se fa'asologa fa'atonu e 10 mataitusi}.jpeg |
C:UsersPublic{O se fa'asologa fa'atonu e 10 mataitusi}.vbs |
%Temp%{Custom folder name}{File name} |
Fa'amatalaga Fa'ata'ita'i
igoa | Leiloa |
MD5 | F7722DD8660B261EA13B710062B59C43 |
SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
ituaiga | PE (.NET) |
fua | 327680 |
Uluai Igoa | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
DateStamp | 01.07.2019 |
Tagata faʻatau | VB.NET |
igoa | IELlibrary.dll |
MD5 | BFB160A89F4A607A60464631ED3ED9FD |
SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
ituaiga | PE (.NET DLL) |
fua | 16896 |
Uluai Igoa | IELlibrary.dll |
DateStamp | 11.10.2016 |
Tagata faʻatau | Microsoft Linker(48.0*) |
puna: www.habr.com