Mycroft Darkweb
@darkmycroft
Дарквеб без малварей это не Дарквеб. Наверное, это одно из самых любопытных направлений работы в Темном Интернете. Выяснять что-же таки умельцы нового натворили в сфере проникновения в чужую инфраструктуру всегда любопытно. Поэтому мы начинаем большой цикл с рассказами о самых мерзопакостных зловредах в истории современного Интернета.
Начнем с классики: Агент Тесла. Нет, это не позывной Илона Маска, это один из самых распространенных ратников, которые только гуляют по сети. На его базе были написаны, не побоюсь этого слова, сотни вариаций всяких вирусняков.
Remote Access Trojan — класс вредоносных программ, которые дают злоумышленнику полный удалённый доступ к заражённому устройству. Через RAT атакующий управляет системой: ворует данные, включает микрофон или камеру, устанавливает другое ПО, превращая компьютер жертвы в марионетку.
Откуда агент такой красивый взялся. Написан он на .NET и впервые был замечен в 2014 году. Кто его написал - не знает никто. Ну почти никто. Но этот был явно недюжинного ума человек. Помимо того, что это был классический инфостиллер, он впилил туда модульную систему. Поэтому обычный среднестатистический вируснячок превратился в конструктор Лего, в который можно было навесить вообще любой функционал и обвес. И кстати, он его, как кошерный драг-дилла, не стал юзать сам, а стал продавать как сервис. Вот так зародился malware-as-a-service.
Чем он знаменит. Звездный час агента настал во времени ковидушки. С начала пандемии он стал фигурировать в тысячах рассылок о COVID-19, прячась в медицинских документах. Жертвы открывали вложения и лишались паролей, доступов к почте, корпоративным системам. В 2022 году пострадали университеты и школы по всему миру, а к 2024 году атаки фиксировали в США и Австралии. Характерный ущерб — массовые утечки учётных данных, взломы сетей, кражи переписки и файлов. Ну и обфусцирован он был на славу: многие антивирусы его успешно прошляпили.
Мастер на все руки Агент Тесла умеет красть учётные данные из браузеров и почтовых клиентов, перехватывать буфер обмена, записывать нажатия клавиш и делать скриншоты экрана. Он может собирать файлы и системную информацию, загружать и запускать дополнительные модули, отправлять данные злоумышленнику через разные каналы (SMTP, HTTP, Telegram API).
Что на сегодня. Сейчас агент остаётся активной угрозой: это боевое коммерческое MaaS-решение регулярно обновляется и используется в таргетированных фишинговых кампаниях по всему миру. Операторы быстро адаптируют конфигурации, добавляют обходы детекции и каналы утечки, но не особо успешно. Поставщики постоянно публикуют IoC и правила детекции, но вирус слишком быстро модернизируется энтузиастами, поэтому за ними просто не поспевают. Ну и рыночек у агента большой: спрос на него растет. Так что с радаров он еще пропадет нескоро.
В общем, будьте осторожны. Не открывайте незнакомые вложения из почтового ящика или из любых других источников. Пока файл вы не запустили - он все еще существует в режиме тыквы.
P.S. Если хотите потыкать его сами, можете это сделать на VirusTotal [1].
#malware #agenttesla
Начнем с классики: Агент Тесла. Нет, это не позывной Илона Маска, это один из самых распространенных ратников, которые только гуляют по сети. На его базе были написаны, не побоюсь этого слова, сотни вариаций всяких вирусняков.
Remote Access Trojan — класс вредоносных программ, которые дают злоумышленнику полный удалённый доступ к заражённому устройству. Через RAT атакующий управляет системой: ворует данные, включает микрофон или камеру, устанавливает другое ПО, превращая компьютер жертвы в марионетку.
Откуда агент такой красивый взялся. Написан он на .NET и впервые был замечен в 2014 году. Кто его написал - не знает никто. Ну почти никто. Но этот был явно недюжинного ума человек. Помимо того, что это был классический инфостиллер, он впилил туда модульную систему. Поэтому обычный среднестатистический вируснячок превратился в конструктор Лего, в который можно было навесить вообще любой функционал и обвес. И кстати, он его, как кошерный драг-дилла, не стал юзать сам, а стал продавать как сервис. Вот так зародился malware-as-a-service.
Чем он знаменит. Звездный час агента настал во времени ковидушки. С начала пандемии он стал фигурировать в тысячах рассылок о COVID-19, прячась в медицинских документах. Жертвы открывали вложения и лишались паролей, доступов к почте, корпоративным системам. В 2022 году пострадали университеты и школы по всему миру, а к 2024 году атаки фиксировали в США и Австралии. Характерный ущерб — массовые утечки учётных данных, взломы сетей, кражи переписки и файлов. Ну и обфусцирован он был на славу: многие антивирусы его успешно прошляпили.
Мастер на все руки Агент Тесла умеет красть учётные данные из браузеров и почтовых клиентов, перехватывать буфер обмена, записывать нажатия клавиш и делать скриншоты экрана. Он может собирать файлы и системную информацию, загружать и запускать дополнительные модули, отправлять данные злоумышленнику через разные каналы (SMTP, HTTP, Telegram API).
Что на сегодня. Сейчас агент остаётся активной угрозой: это боевое коммерческое MaaS-решение регулярно обновляется и используется в таргетированных фишинговых кампаниях по всему миру. Операторы быстро адаптируют конфигурации, добавляют обходы детекции и каналы утечки, но не особо успешно. Поставщики постоянно публикуют IoC и правила детекции, но вирус слишком быстро модернизируется энтузиастами, поэтому за ними просто не поспевают. Ну и рыночек у агента большой: спрос на него растет. Так что с радаров он еще пропадет нескоро.
В общем, будьте осторожны. Не открывайте незнакомые вложения из почтового ящика или из любых других источников. Пока файл вы не запустили - он все еще существует в режиме тыквы.
P.S. Если хотите потыкать его сами, можете это сделать на VirusTotal [1].
#malware #agenttesla
🔥 26
👍 15
❤ 5
44 3.8K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram