Agent Tesla: многоэтапная атака с PowerShell и AutoIt

Agent Tesla: как многоэтапная фишинговая атака превращает письмо в инструмент кражи данных

Специалисты по кибербезопасности описали сложную цепочку заражения, связанную со стиллером Agent Tesla. Атака начинается с внешне безобидного фишингового письма и быстро развивается в многоэтапную операцию, в которой используются PowerShell, скрипты AutoIt, инъекция в легитимный процесс Windows и набор техник для уклонения от обнаружения.

Ключевая особенность этой кампании — ставка на безфайловое выполнение и многоуровневую обфускацию. Это позволяет вредоносному ПО скрывать свою активность, минимизировать следы на диске и затруднять анализ со стороны средств защиты и исследователей.

Цепочка заражения: от фишинга до закрепления в системе

Сценарий атаки строится поэтапно. После открытия вредоносного вложения запускается пакетный скрипт, который выполняет команду PowerShell. В этой схеме PowerShell выступает в роли загрузчика и скачивает дополнительные вредоносные компоненты непосредственно в память.

Такой подход снижает вероятность обнаружения, поскольку традиционные артефакты на диске либо отсутствуют, либо сведены к минимуму. Далее в цепочке задействуется shellcode loader в памяти, который декодирует и запускает следующий этап вредоносного кода.

• запуск через вредоносное вложение;
• использование batch script для старта PowerShell;
• загрузка компонентов в память без явной записи на диск;
• декодирование полезной нагрузки с применением Base64 и XOR-дешифрования;
• закрепление на системе через остаточные файлы и script autostart.

Отдельное внимание аналитики обращают на механизм закрепления. Вредоносное ПО оставляет компоненты в temporary directory и создает скрипт автозагрузки, обеспечивая повторный запуск после перезагрузки системы.

AutoIt и инъекция в charmap.exe

Значимым элементом атаки стал скрипт на базе AutoIt, который используется как loader для внедрения полезной нагрузки. После запуска он injects Agent Tesla в легитимный процесс Windows — charmap.exe.

Для этого применяются техники удаленного выделения памяти и создания процесса, которые часто ассоциируются с process hollowing. В результате вредоносный код маскируется под активность обычного системного приложения, что осложняет выявление по поведенческим признакам.

«Использование легитимного процесса Windows в качестве прикрытия — одна из наиболее опасных тактик, поскольку она размывает границу между нормальной системной активностью и вредоносным поведением», — следует из логики анализа подобных кампаний.

Что делает Agent Tesla после запуска

После внедрения вредоносное ПО приступает к масштабному сбору данных. Его основная задача — кража учетных данных и наблюдение за активностью пользователя.

В частности, Agent Tesla способен:

• собирать учетные данные браузеров;
• перехватывать нажатия клавиш с помощью keylogger;
• делать скриншоты экрана;
• извлекать данные из Windows Credential Store;
• выполнять system fingerprinting для сбора сведений о скомпрометированной машине.

Анализ показывает, что стиллер ориентирован как на браузеры на базе Chromium, так и на браузеры на базе Mozilla. Это расширяет круг потенциально похищаемых данных и делает кампанию универсальной по отношению к различным пользовательским средам.

Экcфильтрация через SMTP

Похищенная информация выводится через SMTP-коммуникацию, замаскированную под обычный почтовый трафик. Такая схема помогает скрыть передачу данных среди легитимной сетевой активности и снижает шанс своевременного обнаружения.

Именно этот этап особенно опасен, поскольку киберпреступники получают не только пароли и сессионные данные, но и контекст поведения пользователя, включая последовательность действий, ввод с клавиатуры и визуальные следы работы на устройстве.

Защита от анализа и антидетект-механизмы

Разработчики вредоносной программы предусмотрели целый набор механизмов противодействия анализу. Среди них — проверки на наличие отладчика, песочницы и virtual machine.

Такие проверки позволяют вредоносному коду менять поведение, прекращать работу или скрывать полезную нагрузку при подозрении на среду анализа. В совокупности с обфускацией и безфайловым выполнением это делает Agent Tesla значительно более устойчивым к исследованию.

Почему эта кампания важна

Этот случай демонстрирует, как стиллеры эволюционировали из относительно простых инструментов кражи данных в сложные execution frameworks, рассчитанные на скрытность, закрепление и эффективность.

Для защиты организаций особенно важны:

• проактивный мониторинг PowerShell-активности;
• контроль использования AutoIt в корпоративной среде;
• строгая проверка email attachments;
• выявление аномалий в дочерних процессах;
• наблюдение за признаками process injection и suspicious SMTP traffic.

В итоге кампания с Agent Tesla наглядно показывает, что современные стиллеры все чаще действуют как многоуровневые платформы для скрытого выполнения вредоносных операций. Их цель — не только кража учетных данных, но и максимальная маскировка под легитимные системные процессы, что делает такие угрозы особенно опасными для пользователей и организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.