agent tesla
۵ اردیبهشت ۱۳۹۷

گونه جدیدی از جاسوس افزار تسلا

 
تسلا

شکل ۱: سند حاوی جاسوس‏افزار

 
جاسوس‏افزار تسلا ابتدا یک کیلاگر ساده بود. در سال ۲۰۱۶ با تغییراتی که روی آن صورت گرفت رسماً به‏عنوان یک جاسوس‏افزار شناخته شد. این جاسوس‏افزار معمولاً از طریق ایمیل‏های اسپم منتشر می‏شود. این جاسوس‏افزار برای آلوده سازی از ویژگی ماکرو در اسناد مجموعه آفیس مایکروسافت بهره می‏برد. تا کنون انواع مختلفی از این جاسوس‏افزار کشف شده است. اخیراً گونه جدیدی از جاسوس‏افزار تسلا مشاهده شده که از طریق اسناد ورد منتشر می‏شود. این جاسوس‏افزار یک فایل exe است که در سند تعبیه شده است و همان‏گونه که در شکل ۱ قابل مشاهده است،در سند ورد یک آیکون ماکرو قرار داده شده که ادعا می‏کند با کلیک روی آن متن واضح می‏شود. در صورتی که کاربر بر روی آیکون کلیک نماید، یک فایل exe از قسمت اشیای تعبیه شده (embedded object) به فولدر موقت (temperory folder) سیستم منتقل و اجرا می‏شود. در این مورد این فایل “POM.exe” نام دارد.  این فایل که به زبان ویژوال بیسیک نوشته شده دو فایل با نام‏های “filename.exe” و “filename.vbs” به پوشه موقت می‏افزاید (معمولاً یک زیر پوشه با نام subfolder ایجاد کرده و این دو فایل را درون آن قرار می‏دهد.). جهت اجرای این فایل در هنگام آغاز به‏کار ویندوز، فایل “filename.exe” به‏صورت برنامه استارت‏آپ تعریف می‏شود. این فایل پس از اجرا فایل “filename.exe” را اجرا می‏کند. پس از اجرای این فایل، یک زیر پروسه معلق ایجاد می‏گردد. سپس یک فایل PE از منبع استخراج می‏شود و تغییراتی در این زیر پروسه ایجاد می‏کند. در نهایت زیرپروسه اجرا می‏شود. ایجاد پروسه به‏صورت معلق به‏دلیل حفاظت از این رویه در برابر نرم‏افزارهای ضد ویروس است.
 

 

 
همچنین در مسیر پوشه موقت یک برنامه دیمون قرار داده شده و اجرا می‏شود. وظیفه این برنامه، محافظت از فایل “filename.exe” است. نام این برنامه به‏صورت یک رشته ۳ کاراکتری تصادفی انتخاب می‏شود. این برنامه هر ۹۰۰ میلی ثانیه یک بار چک می‏کند که آیا “filename.exe” در حال اجرا است یا خیر. اگر پروسه این برنامه از بین رفته بود، دوباره آن را اجرا می‏کند. این جاسوس‏افزار برای انتشار از روش ایمیل‏های اسپم برای آلوده‏سازی اهداف خود استفاده می‏کند. جهت نیل به این هدف از حساب کاربری زوهو (zoho) استفاده می‏کند. سند ورد و فایل “POM.exe” از نوع “W32/VBKrypt.DWSS!tr” شناخته شدند. برای جلوگیری از ابتلا به این جاسوس‏افزار از دانلود اسناد از منبع نامعتبر و با نام‏های نامتداول مانند PPSATV.doc خودداری نمایید. همچنین تا جایی که ممکن است از ماکروهای موجود در اسنادی که از کانال‏های ناامن (مانند ایمیل) به دست شما رسیده استفاده ننمایید.
 

 

 

 

 

منابع

[۱] “Analysis of New Agent Tesla Spyware Variant”, https://www.fortinet.com/blog/threat-research/analysis-of-new-agent-tesla-spyware-variant.html , April 2018.

[۲] “Experts spotted a campaign spreading a new Agent Tesla Spyware variant”, https://securityaffairs.co/wordpress/71154/breaking-news/agent-tesla-campaign.html, April 2018.

[۳] “Agent Tesla spyware spreads via Microsoft Word documents” , https://windowsreport.com/agent-tesla-spyware-microsoft-word/, April 2018.