 |
|
| 別名 | Negasteal、OriginLogger |
|---|---|
| 活動開始時期 | 2014年 |
| プラットフォーム | Windows |
| カテゴリ | スパイウェア |
概要
AgentTeslaは2014年に登場した.NETベースのマルウェアです。当初はRAT(Remote Access Tool/Remote Administration Tool)として販売する公式サイトが存在していましたが、現在は閉鎖されており、代わりにアンダーグラウンドフォーラムでMaaS(Malware as a Service)として提供されています。難読化手法や機能の違いから、現在出回っているAgentTeslaはバージョン2(v2)とバージョン3(v3)に分類されており、特にバージョン3に分類されるものはOriginLoggerと呼称されることもあります。
AgentTeslaのタイムライン
機能
AgentTeslaの機能はバージョンによって細かな違いがあるものの、主要なものとして情報窃取と外部通信が挙げられます。これらの機能について紹介します。
端末のシステム情報の窃取
ログインユーザー名やコンピューター名、プロセッサやメモリ容量などのハードウェア情報、感染時刻といった端末のシステムに関する情報を窃取します。
認証情報の窃取
感染端末にインストールされたソフトウェアに保存された認証情報を窃取します。対象のソフトウェアは多岐に渡り、Webブラウザー、FTPクライアント、メールクライアント、VPNクライアント、遠隔操作ソフトウェア、インスタントメッセンジャーなどが該当します。
キー入力情報の窃取
ユーザーがWebブラウザーやアプリケーションなどに入力する文字列を窃取するために、キーボードの入力情報にアクセスします。
クリップボードの情報の窃取
ユーザーがコピー&ペーストを利用して入力する情報を窃取するために、クリップボードの情報にアクセスします。
スクリーンショットの取得
画面上に映る機密情報を窃取するために、スクリーンショットを取得します。
C2サーバーとの通信
上記で示した情報を攻撃者が用意したC2サーバーへ送信します。SMTP、HTTP、FTPのプロトコルで送信されるほか、TelegramやTorプロキシを介して送信される亜種も確認されています。