PowerPoint prezikben terjed a Agent Tesla vírus

​Az adatlopásra alkalmas Agent Tesla nevű kártékony program immár PowerPoint prezentációk révén is terjed.
 

Az Agent Tesla trójai több éve terjed az interneten, és kezdetektől fogva adatlopási célokkal fertőzi a számítógépeket. A terjesztésében sok esetben jutnak szerephez adathalász technikák. Legutóbb nyáron volt egy intenzívebb támadása, amikor olyan hamis elektronikus levelek révén próbálta rászedni a felhasználókat, amelyek egyebek mellett a DHL nevével és ismertségével éltek vissza. A Fortinet biztonsági kutatói szerint a legújabb trükk pedig a PowerPointot is bevonja a károkozásokba.
 
Sokan már tisztában vannak azzal, hogy a nem megbízható forrásból származó Word és Excel dokumentumok megnyitása károkhoz vezethet. Az azonban kevésbé ismert, hogy ugyanez a helyzet a PowerPoint prezentációkkal is, hiszen azok is képesek makrók kezelésére. Ezt igyekszik most kihasználni az Agent Tesla mögött meghúzódó banda, amely kéretlen levelekben küldözget PowerPoint fájlokat. Ezek eddig elsősorban koreai felhasználókat céloztak, de ez bármikor megváltozhat, így érdemes óvatosnak lenni.
 
Amikor a felhasználó megnyit egy kártékony, PowerPoint állományt, akkor az alkalmazás rákérdez arra, hogy engedélyezi-e az abban lévő tartalmakat. Amennyiben igen, akkor semmiféle prezentáció nem nyílik meg, ellenben a háttérben lefutnak azok a kódok, amik az Agent Tesla számítógépre való feljuttatását elvégzik. Emellett ütemezett feladatok létrehozásával, valamint Indítópultban történő parancsikon elhelyezéssel gondoskodnak arról, hogy a trójai a Windows minden újraindítását követően be tudjon töltődni. (Ehhez különféle PowerShell scripteket is használ a károkozó.)
 
A trójai legújabb variánsa a teljesen ártalmatlan Microsoft .NET RegAsm.exe fájlt fertőzi meg, és ebbe fecskendezi be a kódját, majd e mögül végzi a nemkívánatos tevékenységét. A szerzemény elsősorban alkalmazások által eltárolt adatokat igyekszik kifürkészni. Képes egyebek mellett webböngészőkből, FTP-alkalmazásokból, VPN-kliensekből és levelezőprogramokból is kinyerni a felhasználó által elmentett bizalmas adatokat, például felhasználóneveket, jelszavakat. Mindezek mellett már kompatibilis a MySQL-lel is, így adatbázisokból is szerezhet információkat. Amint végez a "gyűjtögetéssel", akkor a megszerzett adatokat négyféle módon tudja feltölteni a támadók szervereire, mivel képes HTTP, FTP, SMTP és Telegram alapú kommunikációra is.
 
Biztonsági szakemberek az Agent Tesla elleni védekezés gyanánt korszerű víruskeresők használatát, valamint megfontolt levelezést és internetezést javasolnak.
Vélemények
 
  1. 4

    Az Apple watchOS több biztonsági hibától is megvált az újabb frissítésének köszönhetően.

  2. 3

    Az Apache Tomcathez egy újabb biztonsági hibajavítás vált elérhetővé.

  3. 3

    ​A Lockbit.YEB zsarolóvírus a szerverek és a szerveralkalmazások esetében is komoly pusztításra képes.

 
Partnerhírek
A Log4Shell által leginkább veszélyeztetett országok

Az ESET által közzétett adatokból jól látható, mely országokban hajtották végre a legtöbb Log4j sérülékenységet kihasználó támadási kísérletet.

Középpontba kerül a Zero Trust

A vállalatok 99%-a szerint a Zero Trust bevezetése fontos, ezen belül 75%-uk szerint kritikus vagy nagyon fontos lenne.

hirdetés
Közösség