Agent Tesla атакует бизнес Латинской Америки через JScript и PowerShell

Agent Tesla продолжает атаковать компании в Чили и Латинской Америке: киберпреступники маскируют вредоносные файлы под business-документы

В течение как минимум 18 месяцев вредоносная кампания, связанная с Agent Tesla, нацелена на предприятия в Чили и более широком регионе Латинской Америки. Основной задачей злоумышленников остается кража учетных данных, а для проникновения они используют социальную инженерию, выдавая вредоносные вложения за финансовую и закупочную документацию.

Как работает кампания

По данным отчета, вредоносное ПО распространяется в виде закодированного JScript-загрузчика. После запуска он разворачивает дополнительные компоненты через PowerShell-стейджеры, которые применяют техники обхода политики выполнения. На следующем этапе начальный JScript-дроппер извлекает несколько PowerShell-загрузчиков, обеспечивающих связь с сервером управления C2.

Для эксфильтрации и операционных задач используется легитимный румынский FTP-сайт, что позволяет замаскировать подозрительную активность под обычный сетевой трафик.

Как доставляется Agent Tesla

PowerShell-загрузчики предназначены для доставки полезной нагрузки Agent Tesla через внедрение в доверенные системные процессы, прежде всего aspnet_compiler.exe. Такой подход помогает обходить обнаружение средствами защиты конечных точек.

Отдельного внимания заслуживает тот факт, что вредоносное ПО применяет сложные методы обфускации с использованием .NET Reactor v6.x, что существенно осложняет его анализ традиционными средствами статической детекции. Кроме того, используется Process Hollowing, позволяющий выполнять вредоносный код полностью в памяти и тем самым снижать вероятность обнаружения.

Что умеет Agent Tesla

Agent Tesla — это .NET-based stealer и keylogger, способный извлекать конфиденциальные данные из различных приложений. В первую очередь он ориентирован на:

• web browsers;
• почтовые клиенты;
• FTP-applications.

Его функциональность также включает:

• мониторинг буфера обмена;
• регистрацию нажатий клавиш;
• создание скриншотов.

Чем опасна эта кампания

Угроза не ограничивается простой кражей учетных данных. Компрометация учетных записей может стать отправной точкой для более масштабных атак, включая Business Email Compromise (BEC) и финансовое мошенничество.

Особенно примечательно, что злоумышленники целенаправленно выбирают финансовые и закупочные подразделения. Это говорит о стратегическом подходе: цель атак — получить доступ к значимым финансовым операциям и конфиденциальным корпоративным данным.

Инфраструктура кампании также указывает на устойчивость и организованность операции. Один и тот же IP-адрес C2 используется на протяжении длительного времени, что свидетельствует о наличии хорошо обеспеченного и стойкого злоумышленника, способного долго сохранять присутствие в корпоративной среде.

«Эта постоянная активность указывает на профессиональную операцию, которая адаптирует свои тактики и остается незамеченной в business-экосистеме Латинской Америки».

Как снизить риски

Для эффективного снижения рисков, связанных с Agent Tesla, организациям рекомендуется усилить защитные меры и сосредоточиться на подразделениях, которые наиболее часто становятся целью атак.

• Интерактивная песочница для анализа в реальном времени;
• Целевые программы обучения киберграмотности для сотрудников уязвимых подразделений;
• Мониторинг аномальной исходящей FTP-активности;
• Контроль подозрительных PowerShell-сценариев и внедрения в системные процессы;
• Проверка вложений, маскирующихся под финансовые и закупочные документы.

Итоги отчета подчеркивают устойчивый характер этой угрозы и необходимость надежных стратегий кибербезопасности, адаптированных для защиты от операций по краже учетных данных в регионе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.