Ny Covid-relateret phishing-kampagne spreder agent Tesla RAT

Selvom en stadig større del af verdens befolkning bliver vaccineret mod Covid-19, og den globale hysteri, der havde grebet verden i første halvdel af 2020, nu gradvist dør ned, og livet vender langsomt tilbage til et skøn af normalitet, er der stadig nok angst til at tillade dårlige skuespillere og hackere at trække ordninger relateret til virussen ud.

I den seneste forekomst af malware-kampagner med Covid-tema har sikkerhedsforskere bemærket, at der er en ny phishing-kampagne, der spreder Agent Tesla Remote Access Trojan (RAT). Det nye skub for at sprede agent Tesla blev set af rumænske sikkerhedsforskere og bruger en falsk Covid-vaccinationsplan som lokket.

Kroppen af de ondsindede e-mails er skrevet på en kortfattet, forretningslignende måde og tilskynder potentielle ofre til at handle og gennemgå en slags sammensat "problem" med deres vaccinationsregistrering. E-mail-agnet nævner uspecificerede "tekniske problemer" og opfordrer ofrene til at klikke på et link. Et af de allerførste tegn på, at der er noget galt med e-mailen, er at den har flere grammatiske og syntaktiske fejl i sin tekst på trods af dens relativt korte længde.

Agent Tesla RAT er ikke noget nyt, det er blevet sporet af sikkerhedsforskere i den bedre del af et årti nu. Selvom RAT først og fremmest blev brugt til at stjæle adgangskoder, har de nyeste versioner et udvidet sæt ondsindede funktioner, herunder bedre detektionsundgåelse og endnu bedre dataskrabningsværktøjer.

Den ondsindede vedhæftede fil, der er båret i phishing-e-mailen, er en .rtf-fil i rigt tekstformat, der misbruger en ret gammel sårbarhed, der var enormt populær hos dårlige skuespillere for et par år siden. Den pågældende sårbarhed blev kodificeret som CVE-2017-11882 og er længe siden patched, som 2017-års-identifikatoren i designatoren antyder. Det ser dog ud til, at den, der kører denne seneste kampagne, er på udkig efter brugere, der stadig kører forældede versioner af Microsoft Office 2007 til 2016.

Alle oplysninger, som RAT formår at skrabe fra det inficerede system, overføres til sine operatører via SMTP.

Som med enhver phishing-kampagne er den bedste måde at være sikker på aldrig at klikke på links eller åbne vedhæftede filer indeholdt i uopfordrede e-mails. Nogle gange har mere detaljerede phishing-lokker, der er sammensat af indfødte talere, perfekt grammatik og kan endda bruge logoerne på den legitime institution, de prøver at efterligne. At være ekstra forsigtig og holde en anti-malware-pakke installeret og opdateret til enhver tid kan hjælpe med yderligere at reducere truslen om at åbne en ondsindet e-mail og blive inficeret med malware.