Ελληνικό domain θύμα κατάχρησης από το malware. Πάνω από 5.000 Έλληνες χρήστες επηρεάστηκαν από το Agent Tesla
Η Kaspersky ανακάλυψε μια ασυνήθιστη εκστρατεία spam email που στόχο είχε επιχειρήσεις από ολόκληρο τον κόσμο. Με όχημα απομιμήσεις email από προμηθευτές ή αντισυμβαλλόμενες εταιρείες, οι εισβολείς επιχειρούσαν να αποσπάσουν τα δεδομένα σύνδεσης από τους οργανισμούς που δέχονταν επίθεση αξιοποιώντας το διαβόητο malware Agent Tesla. Τα δεδομένα αυτά στη συνέχεια ενδέχεται να προσφέρονται προς πώληση σε φόρουμ του darkweb ή να χρησιμοποιούνται σε στοχευμένες επιθέσεις εναντίον αυτών των οργανισμών.
Όπως αποκαλύπτει πρόσφατη έρευνα της Kaspersky, πλέον οι εγκληματίες του κυβερνοχώρου επικεντρώνονται στη μαζική αποστολή spam email. Η εκστρατεία spam email που έφερε στο φως η Kaspersky είχε στόχο διάφορους οργανισμούς, αξιοποιώντας υψηλής ποιότητας απομιμήσεις επαγγελματικών αιτημάτων από πραγματικές εταιρείες, με μοναδικό διαφοροποιητικό στοιχείο να είναι η λανθασμένη διεύθυνση αποστολέα. Για την απόσπαση των στοιχείων των θυμάτων οι επιτιθέμενοι χρησιμοποίησαν το Agent Tesla – ένα πολύ γνωστό Trojan Spy malware, σχεδιασμένο να κλέβει δεδομένα ελέγχου ταυτότητας, στιγμιότυπα οθόνης και δεδομένα που καταγράφηκαν από κάμερες web και πληκτρολόγια. Το malware διανεμήθηκε ως self-extracting αρχείο συνημμένο στο κακόβουλο email.
Σε ένα χαρακτηριστικό email, κάποιος που υποδύεται έναν υποψήφιο πελάτη από τη Μαλαισία χρησιμοποιεί ένα περίεργο Αγγλικό ιδίωμα για να ζητήσει από τον παραλήπτη να εξετάσει ορισμένα αιτήματα των πελατών και να λάβει πίσω τα έγγραφα που ζητήθηκαν. Η γενική μορφή των email αντιστοιχεί στα πρότυπα εταιρικής αλληλογραφίας: υπάρχει ένα λογότυπο που ανήκει σε μια πραγματική εταιρεία και μια υπογραφή που περιέχει τα στοιχεία του αποστολέα. Συνολικά, δεν φαίνεται κάτι το παράδοξο στο email, ενώ τα γλωσσικά σφάλματα μπορούν εύκολα να αποδοθούν στο γεγονός ότι δεν είναι η μητρική γλώσσα του αποστολέα.
Το email από τον δήθεν αποστολέα από τη Μαλαισία, με συνημμένο κακόβουλο λογισμικό
Το μόνο ύποπτο πράγμα σχετικά με το email είναι ότι η διεύθυνση του αποστολέα, newsletter@trade***.com, χαρακτηρίζεται ως “newsletter”, που χρησιμοποιείται συνήθως για ενημερωτικά δελτία και όχι για προμήθειες. Επιπλέον, το domain name του αποστολέα είναι διαφορετικό από το όνομα της εταιρείας στο λογότυπο.
Σε ένα άλλο email, ένας υποτιθέμενος πελάτης από τη Βουλγαρία πραγματοποιεί έρευνα σχετικά με τη διαθεσιμότητα ορισμένων προϊόντων και προσφέρεται να συζητήσει τις λεπτομέρειες μιας συμφωνίας. Η λίστα προϊόντων που ζητήθηκε λέγεται ότι βρίσκεται στο συνημμένο, όπως και στο προηγούμενο δείγμα. Η διεύθυνση του αποστολέα, εξίσου ύποπτη, ανήκει σε ελληνικό, όχι βουλγαρικό, domain, το οποίο προφανώς δεν έχει καμία σχέση με την εταιρεία της οποίας το όνομα χρησιμοποιείται από τους spammers.
Το email από τον «Βούλγαρο πελάτη», με συνημμένο κακόβουλο λογισμικό
Τα μηνύματα προέρχονται από ένα περιορισμένο εύρος διευθύνσεων IP και τα συνημμένα αρχεία περιείχαν το ίδιο κακόβουλο λογισμικό, το Agent Tesla – που κάνει τους ερευνητές να πιστεύουν ότι όλα αυτά τα μηνύματα ήταν μέρος μιας στοχευμένης εκστρατείας.
Το Agent Tesla στοχεύει χρήστες σε όλον τον κόσμο. Σύμφωνα με υλικό που συγκέντρωσε η Kaspersky, η δραστηριότητα του κακόβουλου λογισμικού από τον Μάιο έως τον Αύγουστο του 2022 ήταν μεγαλύτερη στην Ευρώπη, την Ασία και τη Λατινική Αμερική. Ο μεγαλύτερος αριθμός θυμάτων (20.941) καταγράφηκε στο Μεξικό. Ακολούθησε η Ισπανία, με 18.090 συσκευές χρηστών να δέχονται προσπάθειες μόλυνσης, και η Γερμανία, όπου επηρεάστηκαν 14.880 χρήστες. Από τον Μάιο έως τον Αύγουστο του 2022, 5.050 χρήστες στην Ελλάδα επηρεάστηκαν από το Agent Tesla.
«Το Agent Tesla αποτελεί μια εξαιρετικά δημοφιλή μέθοδο απόσπασης κωδικών πρόσβασης και άλλων διαπιστευτηρίων από τους οργανισμούς που δέχονται επίθεση. Είναι γνωστό από το 2014 και χρησιμοποιείται ευρέως από spammers σε μαζικές επιθέσεις. Ωστόσο, σε αυτήν την εκστρατεία οι εγκληματίες του κυβερνοχώρου χρησιμοποίησαν τεχνικές που είναι χαρακτηριστικές για στοχευμένες επιθέσεις – τα αποσταλμένα email ήταν προσαρμοσμένα ειδικά για την εταιρεία ενδιαφέροντος και ελάχιστα διαφέρουν από τα νόμιμα», προσθέτει ο Roman Dedenok, ειδικός σε θέματα ασφάλειας της Kaspersky.
Τα προϊόντα της Kaspersky εντόπισαν το Agent Tesla ως Trojan-PSW.MSIL.Agensla.
Για να μάθετε περισσότερα σχετικά με το Agent Tesla Stealer, διαβάστε την πλήρη αναφορά στο Securelist.
Για να προστατευθείτε από εκστρατείες spam email, η Kaspersky συνιστά τα εξής:
- Προσφέρετε στους εργαζομένους σας βασική εκπαίδευση ψηφιακής υγιεινής. Πραγματοποιήστε μια προσομοίωση επίθεσης phishing για να διασφαλίσετε ότι ξέρουν πώς να διακρίνουν τα μηνύματα phising.
- Χρησιμοποιήστε μια λύση προστασίας για endpoints και mail servers με δυνατότητες anti-phishing, όπως το Kaspersky Endpoint Security for Business, για να μειώσετε την πιθανότητα μόλυνσης μέσω phising email.
- Εάν χρησιμοποιείτε την υπηρεσία cloud Microsoft 365, μην ξεχνάτε επίσης να την προστατεύετε. Το Kaspersky Security for Microsoft Office 365 διαθέτει αποκλειστική anti-spam και anti-phishing λειτουργία, καθώς και προστασία για τις εφαρμογές SharePoint, Teams και OneDrive για ασφαλείς επιχειρηματικές επικοινωνίες.