Оновлений троян Agent Tesla використовує фішинг, експлойти та стеганографію для крадіжки даних. 😱

Як це працює?

• Починається з фішингового листа з RFQ-документом, який містить DDE-експлойт для завантаження другого документа.
• Другий документ використовує Equation Editor експлойти (CVE-2018-0802, CVE-2017-11882) для доставки завантажувача.
• Завантажувач із DeepSea обфускацією декодує PNG-зображення з подвійною стеганографією, що містить .NET-завантажувач.
• Frenchy шелкод інжектує Dark Stealer у RegAsm, забезпечуючи персистентність через задачі та реєстр. 🕵️‍♂️

Що загрожує? Витік конфіденційних даних, віддалене виконання команд і компрометація мережі.

Як захиститися?

• Уникайте підозрілих листів і документів.
• Оновлюйте ПЗ для закриття вразливостей (CVE-2018-0802, CVE-2017-11882).
• Обмежте виконання макросів і PowerShell-скриптів.
• Перевіряйте мережеві з’єднання на C2-сервери (наприклад, 192.3.141[.]134).

Agent Tesla поєднує складні техніки для обходу захисту. Захищайте свої системи