כיצד קוד בן שבע שנים לגניבת נתונים ממשיך להוות איום עוצמתי?

נוזקה ישנה, שפעילה כבר שבע שנים, ממשיכה להוות איום עדכני על משתמשים וארגונים, בשל יכולות חדשות שנוספו לה. לפי דו"ח חדש של סופוס, לנוזקה, Agent Tesla, נוספו מאפיינים ויכולות חדשים, כך שביכולתה לגנוב מידע מדפדפנים, שרתי מייל, חיבורי VPN ותוכנות נוספות המאחסנות שמות משתמש וסיסמאות. לדברי חוקרי סופוס, Agent Tesla יכולה לאסוף נתוני הקלדה של משתמשים בעת הזנת סיסמה, למשל, ולתעד צילומי מסך.

הגרסה העדכנית ביותר של הנוזקה יודעת להשתמש בשירות ההודעות של טלגרם כדי לתקשר עם המפעילים שלו, וכן עם ToR – תוכנה נפוצה מאוד לגלישה בדארקנט, כדי להסתיר את פעילות גניבת הנתונים. הגרסה גם מנסה לשנות את הקוד של תוכנות, כדי לחסום מאפייני אבטחה.

איך מתגוננים מפני הנוזקה?

"הקוד של Agent Tesla פעיל כבר יותר משבע שנים, ועדיין נתפס כאחד מהאיומים הנפוצים ביותר על משתמשי Windows", אמר שון גלגהאר, חוקר אבטחה בכיר בסופוס. "שיטת ההפצה השכיחה ביותר עבור Agent Tesla היא באמצעות קובץ זדוני המצורף להודעת מייל. חשבונות הדואר האלקטרוני שמשמשים כדי להפיץ את Agent Tesla הם לעתים קרובות חשבונות של משתמשים אמיתיים שנפרצו. ארגונים ואנשים פרטיים צריכים, כמו תמיד, להתייחס בחשדנות לקבצים המצורפים להודעות המגיעות משולחים שלא מוכרים להם, ולאמת את אמינות הקבצים לפני שפותחים אותם".

חוקרי סופוס ממליצים על ביצוע שורה של פעולות להגנת המייל: התקינו פתרון אבטחה חכם, שיכול לסנן, לזהות ולחסום פעילות דואר אלקטרוני חשודה, לרבות קבצים מצורפים, ולעשות זאת בטרם הם מגיעים למשתמשים; הטמיעו מנגנון אימות כדי לאמת שמייל נכנס לא מגיע ממקורות חשודים; למדו לזהות סימנים למייל חשוד, ומה לעשות אם וכאשר הם נתקלים בכזה; ודאו כי הדואר האלקטרוני מגיע מכתובת השולח; לעולם אל תפתחו קבצים, ולעולם אל תלחצו על קישורים בהודעות שמגיעות משולחים שאינם מוכרים.