נחשפה גרסה חדשה ומסוכנת יותר של הנוזקה Agent Tesla

נחשפה גרסה חדשה של נוזקת Agent Tesla, שמזיקה משמעותית יותר מאשר קודמותיה. הגרסה החדשה מציגה שיפורים משמעותיים לעומת גרסאות קודמות – "מה שהופך את הנוזקה Agent Tesla לאיום מסוכן וגדול יותר", כך לפי חוקרי סייפוקס הישראלית, שניתחו אותה.

הנוזקה Agent Tesla "חוגגת" עשור: היא הופיעה בפעם הראשונה ב-2014, והשימוש בה התגבר ב-2020, במסגרת קמפיינים של פישינג שעסקו בנושא שהיה מפחיד אז – מגפת הקורונה. מסעות התקיפה שלה ידועים לשמצה בכך שהם משכפלים במדויק את גוון התקשורת והתבנית החזותית של חברה לגיטימית, כולל לוגואים וגופנים – מה שמגדיל את פוטנציאל ההונאות ושיתופי הפעולה של הקורבנות. בעבר נכתב על הנוזקה כי "אף על פי שטכנולוגית, היא לא מתוחכמת כמו משפחות נוזקות אחרות, היא עלולה, למעשה, לגנוב מגוון רחב של מידע רגיש. היא אף מספקת לתוקפים ממשק קל לשימוש, לניטור תהליך המתקפה ולהורדת מידע גנוב – מה שהופך אותה לבחירה אטרקטיבית עבור ההאקרים". זהות מפתחי Agent Tesla לא ידועה ואין ייחוס ספציפי לקבוצת APT. הנוזקה היא מסוג RAT (ר"ת Remote Access Trojan), והיא נמצאת בשימוש רחב מאוד בידי תוקפים שונים – מהאקרים בודדים ועד לתוקפים ברמת מדינה.

האינדיקציות הראשונות לקיומה של הגרסה החדשה, הרביעית במספר, היו הופעות בפורומים אנונימיים ברשת TOR.

עידן מליחי, חוקר אבטחה בסייפוקס. צילום: יח"צ

לדברי עידן מליחי, חוקר סייפוקס שחתום על המחקר, המטרה העיקרית של Agent Tesla היא לגנוב מידע רגיש כמו שמות משתמש, סיסמאות, פרטי כרטיסי אשראי ומידע עסקי. התוקפים משתמשים במידע זה למטרות שונות, כולל גניבת זהות, מכירה בפורומים וסחיטה. כמו כן, נעשה בה שימוש לצרכי תקיפות ממוקדות נגד חברות וארגונים, במטרה להשתמש במידע שהושג לפעולות זדוניות שונות.

מהם השדרוגים הבולטים לעומת הגרסה הקודמת?

השדרוגים הבולטים של הנוזקה בגרסתה החדשה הן מהירות תגובה גבוהה יותר ועדכון תדיר יותר, באופן שמאפשר לה לעקוף מוצרי אבטחה מתקדמים. היא משתמשת בטכניקות ערפול והתחמקות רב שלביות מתקדמות, כולל תהליכי פיענוח ערפול (De-Obfuscation) מורכבים ודחיסת מידע עבור תוכן זדוני – מה שהופך את הזיהוי והניתוח שלה לקשים יותר.

לדברי מליחי, הגרסה החדשה פועלת בכמה שלבים. הראשון, הפצה: היא מופצת בעיקר דרך מיילים, שמכילים קבצים זדוניים שמצורפים למייל או קישורים נגועים; השני, הרצה: לאחר שהקורבן מריץ את הקובץ המצורף, או לוחץ על הקישור, הנוזקה מבצעת כמה פעולות זדוניות במחשב. הקובץ הראשוני הוא האחראי על הורדת הנוזקה מהשרת המרוחק של התוקף; שלב נוסף הוא הסוואה: Agent Tesla גרסה 4 משתמשת בטכניקות התחמקות כדי להתחמק מתוכנות אנטי וירוס ואמצעי אבטחה מתקדמים אחרים; השלב הבא הוא של ריגול וגניבה: הנוזקה אוספת מידע רגיש שנשמר בדפדפנים, לצד פרטים מתוכנות ניהול FTP, מיילים, ניהול VPN וניהול שרתי SQL. היא גם מקליטה הקשות מקלדת וגונבת קבצי טקסט ממחשבי הקורבנות. לבסוף, מגיע שלב השליחה: המידע הנגנב נשלח לשרת פיקוד ושליטה שבשליטת התוקפים.

"הגרסה החדשה מרחיבה את יכולות גניבת המידע של הנוזקה"

מליחי ציין כי "הגרסה החדשה מרחיבה את יכולות גניבת המידע של הנוזקה. היא מופצת באמצעות קמפיינים של פישינג דרך המייל, ויכולה להתפשט תוך שימוש בקישורים נגועים, קבצים מצורפים זדוניים וניצול פרצות אבטחה במערכות הפעלה ובאפליקציות". הוא הוסיף ש-"הנוזקה מכוונת למגוון רחב של דפדפנים, אפליקציות דואר אלקטרוני, תוכנות ניהול, תוכנות ניהול מסדי נתונים, אפליקציות VPN ותוכנות מסרים מיידיים מוכרות. בנוסף, היא משתמשת בטכניקות מאובטחות יותר ובפרוטוקולי רשת מאובטחים לצורך העברת מידע לשרת התוקף, והורדת כלים ונוזקות אחרים ממנו".

"אם לא די בכך", סיים מליחי, "הגרסה החדשה זמינה כנוזקה כשירות, MaaS (ר"ת Malware-As-A-Service) בדארקנט – מה שמגביר את הזמינות שלה ואת האיום הפוטנציאלי".