הגרסה החדשה של Agent Tesla: הסכנה שמסתתרת בדוא״ל שלכם
מחקר חדש מ-CYFOX חושף את השיטות החדשות של הנוזקה לגניבת מידע רגיש ממשתמשים ולהתחמקות מאמצעי אבטחה
חברת הסייבר CYFOX, המתמחה באספקת פתרונות אבטחת מידע מבוססי בינה מלאכותית, מפרסמת מחקר חדש שבו היא מציגה ניתוח של גרסה חדשה ומשופרת של נוזקת Agent Tesla, המהווה איום גדול יותר על משתמשים. הגרסה החדשה של Agent Tesla מציגה שיפורים משמעותיים לעומת גרסאות קודמות, מה שהופך את איום ההפצה שלה לגדול יותר.
נוזקת Agent Tesla הופיעה לראשונה ב-2014, והשימוש בה התגבר ב-2020 כאשר נוצלה לקמפיינים של פישינג בנושא COVID-19. Agent Tesla Ver 4 היא גרסה חדשה ומתקדמת שעדיין לא ברור מי מפתחיה, והאינדיקציות הראשונות לקיומה הופיעו בפורומים אנונימיים ברשת TOR.
לדברי עידן מליחי, חוקר CYFOX החתום על המחקר, המטרה העיקרית של Agent Tesla היא לגנוב מידע רגיש כמו שמות משתמש, סיסמאות, פרטי כרטיסי אשראי ומידע עסקי. התוקפים משתמשים במידע זה למטרות שונות, כולל גניבת זהות, מכירה בפורומים וסחיטה. כמו כן, נעשה בה שימוש לצרכי תקיפות ממוקדות כנגד חברות וארגונים במטרה להשתמש במידע שהושג לצרכים זדוניים שונים.
השדרוגים הבולטים של הנוזקה כוללים מהירות תגובה גבוהה יותר ועדכון תדיר, המאפשרים לנוזקה לעקוף מוצרי אבטחה מתקדמים, כגון EDR ו-XDR. Agent Tesla משתמשת בטכניקות ערפול והתחמקות מתקדמות, כולל פיענוח ערפול מורכבים ודחיסת מידע זדוני, מה שמקשה על זיהויה וניתוחה.
הגרסה החדשה של Agent Tesla מופצת בעיקר דרך מיילים עם קבצים זדוניים או קישורים נגועים. לאחר שהקורבן מריץ את הקובץ המצורף או לוחץ על הקישור, הנוזקה מתחילה בפעולות זדוניות במחשב, מורידה את הנוזקה מהשרת המרוחק של התוקף, ומשתמשת בטכניקות התחמקות מתוכנות אנטי-וירוס ואמצעי אבטחה מתקדמים אחרים. הנוזקה אוספת מידע רגיש שנשמר בדפדפנים ובתוכנות ניהול FTP, מיילים, VPN ו-SQL, מקליטה הקשות מקלדת וגונבת קבצי טקסט ממחשבי הקורבנות. המידע הנגנב נשלח לשרת פיקוד ושליטה של התוקפים.
הגרסה החדשה של Agent Tesla מרחיבה את יכולות גניבת המידע שלה ומופצת באמצעות קמפיינים של פישינג. היא יכולה להתפשט דרך קישורים נגועים, קבצים מצורפים זדוניים וניצול פרצות אבטחה. Agent Tesla מכוונת לדפדפנים, אפליקציות דואר אלקטרוני, תוכנות ניהול, מסדי נתונים, אפליקציות VPN ותוכנות מסרים מיידיים כמו Discord.
בנוסף, הנוזקה משתמשת בטכניקות ובפרוטוקולי רשת מאובטחים להעברת מידע לשרת התוקף ולהורדת כלים ונוזקות אחרים. לאחר סיום פעילותה, הנוזקה שולחת את המידע שנאסף לשרת בשליטת התוקפים. הגרסה החדשה של Agent Tesla זמינה כשירות (MaaS) בדארקנט, מה שמגביר את האיום הפוטנציאלי.