Agent Tesla ворует пароли из браузеров и VPN клиентов
Специалисты компании SentinelOne предупредили, что новые версии малвари Agent Tesla оснащены модулями для кражи учетных данных из приложений, в том числе из браузеров, FTP и почтовых клиентов, а также VPN решений.
Исследователи отмечают, что Agent Tesla способен извлекать учетные данные конфигурационных и прочих файлов приложений, а также из реестра. Малварь интересуют: браузеры Google Chrome, Chromium, Safari, Mozilla Firefox и Brave; FTP-клиент FileZilla, почтовые клиенты Mozilla Thunderbird и Outlook, а также OpenVPN. Но только этими приложениями вредонос не ограничивается (полный список можно найти в конце этого материала).
Собрав на машине жертвы нужные учетные данные и информацию о настройках приложений, инфостилер отправляет их свой управляющий сервер через FTP или STMP.
Также эксперты пишут, что Agent Tesla нередко доставляет на зараженные машины дополнительные вредоносные бинарники или использует для этих целей уже существующие на целевых хостах и уязвимые файлы.
Agent Tesla — усовершенствованный RAT, то есть троян удаленного доступа, известный ИБ-экспертам с 2014 года. Вредоносная программа написана на .Net и способна отслеживать и собирать вводимые данные с клавиатуры жертвы, из буфера обмена, снимать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы. Также малварь может отключать антивирусные решения и процессы, которые пытаются анализировать ее и мешают работе.
Список приложений, которые атакует вредонос:
360 Browser
Apple Safari
Becky! Internet Mail
BlackHawk
Brave
CentBrowser
CFTP
Chedot
Chromium (general)
Citrio
Claws Mail
Coccoc
Comodo Dragon
CoolNovo
CoreFTP
CyberFox
Elements
Epic Privacy
FileZilla
FlashFXP
Flock
Google Chrome
IceCat
IceDragon
IncrediMail
Iridium
KMeleon
Kometa
Liebao
Microsoft IE & Edge
Microsoft Outlook
Mozilla Firefox
Mozilla Thunderbird
OpenVPN
Opera
Opera Mail
Orbitum
PaleMoon
Postbox
QIP Surf
Qualcomm Eudora
SeaMonkey
Sleipnir 6
SmartFTP
Sputnik
Tencent QQBrowser
The Bat! Email
Torch
Trillian Messenger
UCBrowser
Uran
Vivaldi
WaterFox
WinSCP
Yandex