Nowa kampania AgentTesla

W ostatnich dniach CERT Orange Polska zarejestrował kampanię malspamową dostarczającą na komputery ofiar złośliwe oprogramowanie – AgentTesla. To złośliwe oprogramowanie wykradające hasła z przeglądarek internetowych, klientów poczty elektronicznej oraz innych aplikacji przechowujących poufne informacje. AgentTesla to jeden z najczęściej spotykanych malware’ów w Polsce.

Wektorem ataku są wiadomości mailowe podszywające się pod firmę Piotrowice sp. z .o.o. Treść wiadomości jest napisana po polsku i zachęca użytkownika do kliknięcia w załączony dokument w celu rzekomego wyświetlenia zamówienia.

Dostarczony w wiadomości załącznik zawiera plik Zamówienie_k40098kk89005637733.iso. W archiwum znajduje się plik wykonywalny flittiglise.exe.

Pliki wykonywalny to znane złośliwe oprogramowanie GuLoader, skompilowane przy użyciu NSIS. GuLoader po uruchomieniu wykonuje skrypt powershellowy, a ten odwołuje się do kodu, zawarte w pliku:
C:\Users\Admin\AppData\Roaming\sdelige\opkrvningen\Razeed\Flygtningelejres.agt

Ten zaciemniony plik zawiera dalsze instrukcje, prowadzące ostatecznie do pobrania i uruchomienia złośliwego kodu z zewnętrznego serwera.

W ramach persystencji i uniknięcia wykrycia pobrany kod wstrzykiwany jest do autentycznego procesu systemu Windows WerFault.exe.

Indicators of Compromise (IoC)

MTA Server IP: 77[.]111.127.222

MTA Server: Cerberus[.]dsys[.]hu

Serwer zawierający kod AgentTesla: hxxp://romstal-hungary[.]hu//MIzSja40.bin

C2 do eksfiltracji: ftp[.]carbognin[.]it:21

Nazwa załącznika: Zamówienie_k40098kk89005637733.iso

SHA256: 3c6eb256058038c498f5ea436472719a4b5b1a69

Nazwa obiektu w iso: flittiglise.exe

SHA256: b26d03fb09efa4ee018ac6561bd4c9eab36e8b1b3e123bd94ad7886a8194ab7b