PowerPoint prezikben terjed a Agent Tesla vírus

​Az adatlopásra alkalmas Agent Tesla nevű kártékony program immár PowerPoint prezentációk révén is terjed.
 

Az Agent Tesla trójai több éve terjed az interneten, és kezdetektől fogva adatlopási célokkal fertőzi a számítógépeket. A terjesztésében sok esetben jutnak szerephez adathalász technikák. Legutóbb nyáron volt egy intenzívebb támadása, amikor olyan hamis elektronikus levelek révén próbálta rászedni a felhasználókat, amelyek egyebek mellett a DHL nevével és ismertségével éltek vissza. A Fortinet biztonsági kutatói szerint a legújabb trükk pedig a PowerPointot is bevonja a károkozásokba.
 
Sokan már tisztában vannak azzal, hogy a nem megbízható forrásból származó Word és Excel dokumentumok megnyitása károkhoz vezethet. Az azonban kevésbé ismert, hogy ugyanez a helyzet a PowerPoint prezentációkkal is, hiszen azok is képesek makrók kezelésére. Ezt igyekszik most kihasználni az Agent Tesla mögött meghúzódó banda, amely kéretlen levelekben küldözget PowerPoint fájlokat. Ezek eddig elsősorban koreai felhasználókat céloztak, de ez bármikor megváltozhat, így érdemes óvatosnak lenni.
 
Amikor a felhasználó megnyit egy kártékony, PowerPoint állományt, akkor az alkalmazás rákérdez arra, hogy engedélyezi-e az abban lévő tartalmakat. Amennyiben igen, akkor semmiféle prezentáció nem nyílik meg, ellenben a háttérben lefutnak azok a kódok, amik az Agent Tesla számítógépre való feljuttatását elvégzik. Emellett ütemezett feladatok létrehozásával, valamint Indítópultban történő parancsikon elhelyezéssel gondoskodnak arról, hogy a trójai a Windows minden újraindítását követően be tudjon töltődni. (Ehhez különféle PowerShell scripteket is használ a károkozó.)
 
A trójai legújabb variánsa a teljesen ártalmatlan Microsoft .NET RegAsm.exe fájlt fertőzi meg, és ebbe fecskendezi be a kódját, majd e mögül végzi a nemkívánatos tevékenységét. A szerzemény elsősorban alkalmazások által eltárolt adatokat igyekszik kifürkészni. Képes egyebek mellett webböngészőkből, FTP-alkalmazásokból, VPN-kliensekből és levelezőprogramokból is kinyerni a felhasználó által elmentett bizalmas adatokat, például felhasználóneveket, jelszavakat. Mindezek mellett már kompatibilis a MySQL-lel is, így adatbázisokból is szerezhet információkat. Amint végez a "gyűjtögetéssel", akkor a megszerzett adatokat négyféle módon tudja feltölteni a támadók szervereire, mivel képes HTTP, FTP, SMTP és Telegram alapú kommunikációra is.
 
Biztonsági szakemberek az Agent Tesla elleni védekezés gyanánt korszerű víruskeresők használatát, valamint megfontolt levelezést és internetezést javasolnak.