سازمانهای ایرانی هدف نوعی بدافزار با دامهایی به زبان فارسی
مرکز افتا اعلام کرد که سازمانهای ایرانی در هفتههای اخیر هدف بدافزار Agent Tesla قرار گرفتهاند که در جریان آن ایمیلهای جعلی با ظاهر و محتوای قابلباور به کاربران ارسال شده است.
نکته قابلتوجه در خصوص ایمیلهای فیشینگ بدافزار Agent Tesla ، فارسی بودن محتوا و عنوان آنهاست که این خود احتمال به دام افتادن کاربران ایرانی را، افزایش داده است.
در مواردی گردانندگان این بدافزار برخی اجزای مخرب را روی سایتهای معتبر قرار میدهند تا ارتباط با آن سایتها، از سوی ابزارهای امنیتی و مسئولان امنیت مشکوک تلقی نشود.
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روشهایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفتهاند.
اصلیترین روش انتشار Agent Tesla، ایمیلهای Spam است که فایل حاوی این بدافزار را در پیوست خود به همراه دارند.
نکته مهم این بدافزار آن است که خریداران Agent Tesla قادر به سفارشیسازی بدافزار، توزیع و بهرهبرداری از آن به روش خود خواهند بود.
در نسخههای اخیر Agent Tesla از روشهای مختلفی برای دشوار کردن افشای عملکرد بدافزار در سندباکسها و در جریان تحلیلهای ایستا بهره گرفته شده است.
بدافزار Agent Tesla میتواند در بستر برخی از پروتکلها با سرور فرماندهی و کنترل خود ارتباط برقرار کند و دادههای به سرقت رفته کاربران را این سرور ارسال کند.
در نسخه جدید، هنگام اجرای بدافزار، هر نمونه دیگر از این بدافزار در صورت فعال بودن متوقف خواهد شد و این سازوکار زمینه را برای ارتقای نسخه فعلی به نسخه جدید فراهم میکند.
پروتکل پرطرفداربرای بدافزار ، SMTP است. چون برای مهاجمان امنتر بوده و بهرهگیری از آن به زیرساخت کمتری نیاز دارد.
یکی از اصلیترین اقدامات مخرب Agent Tesla سرقت اطلاعات هویتی است. تعداد برنامههای هدف قرار گرفته شده توسط این بدافزار در هر نسخه جدید آن افزایش مییابد.
از جمله برنامههایی که Agent Tesla برای دستیابی به اطلاعات هویتی آنها تلاش میکند، مرورگرها، نرم افزارهای مدیریت ایمیل و سایر نرمافزارها است.
طبق اعلام شرکت Sophos ، بدافزار Agent Tesla از مجموع ایمیلهای حامل بدافزار در دسامبر ۲۰۲۰ سهمی ۲۰ درصدی را به خود اختصاص داده است.
کارشناسان مرکز مدیریت راهبردی افتا برای مقابله با تهدیدات بدافزار Agent Tesla به تمامی متخصصان، کارشناسان و مدیران IT دستگاهها و سازمانهای دارای زیرساخت حیاتی تاکید میکنند که از ضدویروس قدرتمند و بهروز استفاده کنند.
آموزش و راهنمایی کاربران سازمان بهصرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن فایلهای ارسالی بدافزار داشته باشد.
مسدود کردن ایمیلهای دارای پیوست ماکرو در gateway شبکه، نصب همواره patch های امنیتی روی تمامی دستگاهها و استفاده نکردن از هرگونه سیستمعامل از ردهخارج شده از دیگر توصیههای امنیتی مرکز افتا است.
کارشناسان مرکز مدیریت راهبردی افتا از همه متولیان IT دستگاهها و سازمانهای دارای زیرساخت حیاتی خواسته اند تا با محدود کردن سطح دسترسی کاربران، موجب شوند تا حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به بدافزار Agent Tesla آلوده نشود.
اطلاعات فنی و امنیتی درباره بدافزار Agent Tesla، روشهای نفوذ به سیستمهای سازمانها، قابلیتهای نسخههای جدید و مشخصات پروتکلهای مورد سو استفاده این بدافزار در پایگاه اینترنتی مرکز افتا منتشر شده است.