Bitdefender Labs wykryło złośliwą kampanię phishingową próbującą zainfekować użytkowników niesławnym trojanem zdalnego dostępu Agent Tesla. Kampania złośliwego spamu ma na celu przemycenie złośliwego ładunku pod postacią prośby o wycenę (która jest dołączana jako załącznik) od firmy, która wydaje się być południowokoreańską firmą z branży wydobywczej i metalowej. Bliższe przyjrzenie się adresowi dostawy pokazuje jednak domenę dostarczania wiadomości phishingowych podszywających się pod grupę naftowo-gazową w Kazachstanie.
Powrót kampanii phishingowej Agent Tesla
Jak donoszą specjaliści do spraw cyberbezpieczeństwa z firmy Bitdefender, większość ataków pochodziła z adresów IP w Holandii (42%) i Stanach Zjednoczonych (38%). Wiadomości mają wyglądać jak niepozorny e-mail biznesowy z prośbą do odbiorcy o przekazanie potencjalnemu klientowi lub dostawcy dodatkowych informacji i kosztów poszczególnych towarów oraz usług wymienionych w załączniku. Poniżej zamieszczamy, jego treść.
„Cześć, jesteśmy firmą handlową z Korei. Teraz otwieramy nowy kierunek i szukamy nowych dostawców. Czy możesz przesłać ofertę cenową tych produktów, cen i warunków pracy? Czekamy na Twoją opinię. Dziękuję.”
Złośliwy załącznik jest w rzeczywistości dokumentem RTF wykorzystującym lukę CVE – 2018-0802, który zawiera link 3f1f8ef6e454f2631b42c29a0ac1c4aa do zewnętrznego łącza http://87.121.221[.]212/yugozx.doc. Dokument po uzyskaniu dostępu poprosi o pobranie złośliwego oprogramowania Agent Tesla na maszynę ofiary.
Poniżej przedstawiamy wskaźniki kompromisu: 3f1f8ef6e454f2631b42c29a0ac1c4aa http://87.121.221[.]212/yugozx.doc
Po zainstalowaniu agenta Tesla na zainfekowanej maszynie złośliwe oprogramowanie zaczyna zbierać poufne informacje z systemu, eksfiltrując dane za pośrednictwem protokołu SMTP (e-mail) z powrotem na konto e-mail zarejestrowane wcześniej przez atakujących lub na konto Telegram.
Infekcje agenta Tesla rozprzestrzeniają się głównie poprzez kampanie phishingowe. Dobrze znany złodziej danych, często widziany w ofertach grup cyberprzestępczych typu złośliwe oprogramowanie jako usługa, jest również znany jako złośliwe oprogramowanie pierwszego etapu ataku, ponieważ trojan zdalnego dostępu zapewnia przestępcom zdalny dostęp do wszelkich zaatakowanych systemów i pozwala im wdrażać bardziej wyrafinowane lub niszczycielskie ataki, takie jak ransomware.
Agent Tesla jest atrakcyjnym wyborem dla cyberprzestępców oraz może być dostarczany w różnych formach załączników, w tym .zip, .cab, .msi, .img i dokumentów Microsoft Office.
Wydaje się, że w tej konkretnej kampanii napastnicy nie włożyli wiele pracy w ton wizualnego szablonu wiadomości, najprawdopodobniej mając nadzieję, że odbiorcy z ciekawości sprawdzą fałszywy załącznik.
Oprogramowanie antywirusowe Bitdefender wykrywa załącznik jako Trojan.GenericKD.68349949.
Jak można chronić się przed kampanią phishingową Agenta Tesli?
„Najlepszym sposobem na ograniczenie i ochronę przed złośliwymi atakami, w tym infekcjami agenta Tesla, jest zainstalowanie na urządzeniu rozwiązania zabezpieczającego, które może wykrywać i blokować rozprzestrzenianie się złośliwego oprogramowania na naszych urządzeniach. Ponieważ trojan zdalnego dostępu ma na celu kradzież danych logowania z maszyn i umożliwienie atakującym dostępu do poufnych kont i danych, użytkownicy powinni egzekwować MFA (uwierzytelnianie wieloskładnikowe) tam, gdzie to możliwe” – mówi Dariusz Woźniak z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
Źródło https://www.bitdefender.com/blog/hotforsecurity/bitdefender-labs-warns-of-agent-tesla-phishing-campaign/