Специалисты компании SentinelOne предупредили, что новые версии малвари Agent Tesla оснащены модулями для кражи учетных данных из приложений, в том числе из браузеров, FTP и почтовых клиентов, а также VPN решений.
Исследователи отмечают, что Agent Tesla способен извлекать учетные данные конфигурационных и прочих файлов приложений, а также из реестра. Малварь интересуют: браузеры Google Chrome, Chromium, Safari, Mozilla Firefox и Brave; FTP-клиент FileZilla, почтовые клиенты Mozilla Thunderbird и Outlook, а также OpenVPN. Но только этими приложениями вредонос не ограничивается (полный список можно найти в конце этого материала).
Собрав на машине жертвы нужные учетные данные и информацию о настройках приложений, инфостилер отправляет их свой управляющий сервер через FTP или STMP.
Также эксперты пишут, что Agent Tesla нередко доставляет на зараженные машины дополнительные вредоносные бинарники или использует для этих целей уже существующие на целевых хостах и уязвимые файлы.
Список приложений, которые атакует вредонос:
- 360 Browser
- Apple Safari
- Becky! Internet Mail
- BlackHawk
- Brave
- CentBrowser
- CFTP
- Chedot
- Chromium (general)
- Citrio
- Claws Mail
- Coccoc
- Comodo Dragon
- CoolNovo
- CoreFTP
- CyberFox
- Elements
- Epic Privacy
- FileZilla
- FlashFXP
- Flock
- Google Chrome
- IceCat
- IceDragon
- IncrediMail
- Iridium
- KMeleon
- Kometa
- Liebao
- Microsoft IE & Edge
- Microsoft Outlook
- Mozilla Firefox
- Mozilla Thunderbird
- OpenVPN
- Opera
- Opera Mail
- Orbitum
- PaleMoon
- Postbox
- QIP Surf
- Qualcomm Eudora
- SeaMonkey
- Sleipnir 6
- SmartFTP
- Sputnik
- Tencent QQBrowser
- The Bat! Email
- Torch
- Trillian Messenger
- UCBrowser
- Uran
- Vivaldi
- WaterFox
- WinSCP
- Yandex
Источник: xakep
