מחקר CYFOX – נחשפה גרסה חדשה ומסוכנת של Agent Tesla שמטרתה לגנוב מידע רגיש ממשתמשים
חברת הסייבר CYFOX, המתמחה באספקת פתרונות אבטחת מידע מבוססי בינה מלאכותית, מפרסמת היום מחקר חדש שבו היא מציגה ניתוח של גרסה חדשה ומשופרת משמעותית של נוזקת Agent Tesla, המהווה איום גדול יותר על משתמשים. הגרסה החדשה של Agent Tesla מציגה שיפורים משמעותיים לעומת גרסאות קודמות, מה שהופך את איום ההפצה של Agent Tesla לגדול יותר.
נוזקת Agent Tesla הופיעה לראשונה ב-2014, והשימוש בה התגבר ב-2020 כאשר נוצלה לקמפיינים של פישינג בנושא שהפחיד את כלל העולם באותה תקופה – COVID-19. Agent Tesla Ver 4 היא גרסה חדשה ומתקדמת שעדיין לא ברור מי מפתחיה. האינדיקציות הראשונות לקיומה הן הופעות בפורומים אנונימיים ברשת TOR.
לדברי עידן מליחי, חוקר CYFOX החתום על המחקר, המטרה העיקרית של Agent Tesla היא לגנוב מידע רגיש כמו שמות משתמש, סיסמאות, פרטי כרטיסי אשראי ומידע עסקי. התוקפים משתמשים במידע זה למטרות שונות, כולל גניבת זהות, מכירה בפורומים וסחיטה.כמו כן, נעשה בה שימוש לצרכי תקיפות ממוקדות כנגד חברות וארגונים במטרה להשתמש במידע שהושג לצרכי פעולות זדוניות שונות.
השדרוגים הבולטים של הנוזקה הן מהירות תגובה גבוהה יותר ועדכון תדיר יותר, באופן המאפשר לנוזקה לעקוף מוצרי אבטחה מתקדמים, כגון EDR, XDR, Mail Relay, ועוד. Agent Tesla משתמשת בטכניקות ערפול והתחמקות רב-שלביות מתקדמות, כולל תהליכי פיענוח ערפול (De-Obfuscation) מורכבים ודחיסת מידע עבור תוכן זדוני, מה שהופך את הזיהוי והניתוח שלה לקשים יותר.
לדברי מליחי, הגרסה החדשה של Agent Tesla פועלת בכמה שלבים:
- הפצה: מופצת בעיקר דרך מיילים המכילים קבצים זדוניים המצורפים למייל או קישורים נגועים.
- הרצה: לאחר שהקורבן מריץ את הקובץ המצורף או לוחץ על הקישור, הנוזקה מתחילה לבצע מספר פעולות זדוניות במחשב. הקובץ הראשוני הוא האחראי על הורדת הנוזקה מהשרת המרוחק של התוקף.
- הסוואה: הנוזקה משתמשת בטכניקות התחמקות כדי להתחמק מתוכנות אנטי-וירוס ואמצעי אבטחה מתקדמים אחרים.
- ריגול וגניבה: הנוזקה אוספת מידע רגיש שנשמר בדפדפנים ופרטים מתוכנות ניהול FTP, מיילים, ניהול VPN, וניהול שרתי SQL. היא גם מקליטה הקשות מקלדת וגונבת קבצי טקסט ממחשבי הקורבנות.
- שליחה: המידע הנגנב נשלח לשרת פיקוד ושליטה שבשליטת התוקפים.
הגרסה החדשה של Agent Tesla מרחיבה את יכולות גניבת המידע של הנוזקה, היא מופצת באמצעות קמפיינים של פישינג באמצעות הדואר האלקטרוני ויכולה להתפשט דרך קישורים נגועים, קבצים מצורפים זדוניים, וניצול פרצות אבטחה במערכות הפעלה ובאפליקציות.Agent Tesla מכוונת למגוון רחב של דפדפנים, אפליקציות דואר אלקטרוני, תוכנות ניהול, תוכנות ניהול מסדי נתונים, אפליקציות VPNותוכנות מסרים מיידים מוכרות כמו Discord.
בנוסף, הנוזקה עושה שימוש בטכניקות מאובטחות יותר ובפרוטוקולי רשת מאובטחים לצורך העברת מידע לשרת התוקף והורדת כלים ונוזקות אחרים משרת התוקף. Agent Tesla משתמשת בפרוטוקול HTTPS מאובטח להורדה מהשרת ולקבלת מידע מהקורבן. לאחר סיום פעילות הנוזקה במערכת הקורבן, הנוזקה שולחת את כלל המידע שנאסף אל שרת בשליטת התוקפים.
אם לא די בכך, מדגישים חוקרי CYFOX, הגרסה החדשה של ה-Agent Tesla זמינה כשירות (MaaS) בדארקנט, מה שמגביר את הזמינות שלה ואת האיום הפוטנציאלי.
CYFOX ממליצה לכל המשתמשים לנקוט בצעדים הדרושים להגנה על מערכותיהם מפני Agent Tesla.
- התקנת פתרונות אבטחה מעודכנים שיוכלו לסייע בזיהוי וחסימה של Agent Tesla.
- עדכון תוכנות באופן קבוע יכול לסייע בחסימת פגיעויות שונות ש-Agent Tesla יכולה לנצל.
- הימנעות מפתיחת קבצים או לחיצה על קישורים ממקורות לא מוכרים יפחיתו משמעותית את הסיכון להדבקה ב-Agent Tesla.
- העלאת המודעות של עובדים מפני מתקפות פישינג ומתקפות הנדסה חברתית.