Разоблачение Darktortilla: киберугроза, угрожающая личным данным казахстанцев
Файл, в котором были найдены электронные адреса казахстанцев, хакеры использовали для шпионских целей.
В сентябре текущего года с целью анализа и дальнейшего устранения инцидента ИБ в сетях государственных органов в Национальную службу реагирования на компьютерные инциденты АО «Государственная техническая служба» (Служба KZ-CERT) поступила информация от одной из казахстанских компаний. Она касалась файла с Agent Tesla и DarkTortilla, которые в связке представляют инфостилер. По информации компании файл, в котором были найдены электронные адреса казахстанцев, хакеры использовали для шпионских целей.
Специалистами Службы KZ CERT файл был проанализирован и воссоздан алгоритм действий инфостилера. Выяснилось, что злоумышленник отправлял файл пользователю, а после открытия файла запускался инфостилер, который собирал конфиденциальную информацию с компьютера, в том числе — адреса сайтов с логинами и паролями. Параллельно инфостилер каждые 20 минут делал скриншоты и отслеживал нажатие клавиш пользователем согласно прописанным запросам злоумышленника.
DarkTortilla — это универсальный инструмент для киберпреступников, он базируется на.NET и обладает настройками, связанными с группировкой RATs Crew. Кроме того, возможно сходство с вредоносом Gameloader. Agent Tesla, который был использован в связке с DarkTortilla, представляет собой инфостилер, способный красть личные данные из веб-браузеров, почтовых клиентов и FTP-серверов — пароли, ключи и другие конфиденциальные данные. Последние версии Agent Tesla также способны добывать личные данные из VPN-клиентов.
Основными задачами DarkTortilla являются сбор конфиденциальных данных из пользовательских программ, ведение кейлоггера, профилирование системы и создание скриншотов экрана. Этот многогранный инструмент способен оставаться невидимым в системе, а также обеспечивать непрерывный сбор и передачу конфиденциальных данных киберпреступникам. Исходя из анализа, специалисты Службы KZ CERT сообщают, что DarkTortilla и его связанный софт Agent Tesla представляют серьезную угрозу для безопасности данных и личной информации.
Службой KZ CERT в адрес казахстанских пользователей, подвергнувшихся атаке, направлены рекомендации и уведомления по кибергигиене. Специалисты рекомендуют использовать сложные пароли и не открывать подозрительные файлы, а также принять общие меры по кибербезопасности для защиты систем от подобных киберугроз.