Neue Covid-bezogene Phishing-Kampagne verbreitet Agent Tesla RAT

Auch wenn sich ein immer größerer Teil der Weltbevölkerung gegen Covid-19 impfen lässt und die globale Hysterie, die die Welt in der ersten Jahreshälfte 2020 erfasst hatte, nun allmählich abebbt und das Leben langsam zu einem Anschein von Normalität zurückkehrt, gibt es immer noch genug Angst, um es bösen Akteuren und Hackern zu ermöglichen, Pläne im Zusammenhang mit dem Virus durchzuführen.

Im jüngsten Fall von Covid-Themen-Malware-Kampagnen haben Sicherheitsforscher festgestellt, dass eine neue Phishing-Kampagne im Gange ist, die den Remote-Access-Trojaner (RAT) Agent Tesla verbreitet. Der neue Vorstoß zur Verbreitung von Agent Tesla wurde von rumänischen Sicherheitsforschern entdeckt und verwendet einen gefälschten Covid-Impfplan als Köder.

Der Text der bösartigen E-Mails ist prägnant und sachlich geschrieben und ermutigt potenzielle Opfer, Maßnahmen zu ergreifen und eine Art erfundenes "Problem" mit ihrer Impfregistrierung zu überprüfen. Der E-Mail-Köder erwähnt nicht näher bezeichnete „technische Probleme“ und fordert die Opfer auf, auf einen Link zu klicken. Eines der ersten Anzeichen dafür, dass mit der E-Mail etwas nicht stimmt, ist, dass der Text trotz ihrer relativ kurzen Länge mehrere grammatikalische und syntaktische Fehler enthält.

Der Agent Tesla RAT selbst ist nichts Neues, er wird seit mehr als einem Jahrzehnt von Sicherheitsforschern verfolgt. Obwohl die RAT in der Vergangenheit hauptsächlich zum Stehlen von Passwörtern verwendet wurde, verfügen die neuesten Versionen über einen erweiterten Satz bösartiger Fähigkeiten, darunter eine bessere Erkennungsvermeidung und noch bessere Tools zum Daten-Scraping.

Der bösartige Anhang in der Phishing-E-Mail ist eine .rtf-Datei im Rich-Text-Format, die eine ziemlich alte Schwachstelle ausnutzt, die vor einigen Jahren bei bösartigen Akteuren sehr beliebt war. Die fragliche Schwachstelle wurde als CVE-2017-11882 kodifiziert und seit langem gepatcht, wie die 2017-Jahres-Kennung im Designator vermuten lässt. Es scheint jedoch, dass wer auch immer diese neueste Kampagne durchführt, auf der Suche nach Benutzern ist, die immer noch veraltete Versionen von Microsoft Office 2007 bis 2016 verwenden.

Alle Informationen, die die RAT aus dem infizierten System herauskratzen kann, überträgt sie über SMTP an ihre Betreiber.

Wie bei jeder Phishing-Kampagne besteht der beste Weg zur Sicherheit darin, niemals auf Links zu klicken oder Anhänge in unerwünschten E-Mails zu öffnen. Manchmal haben aufwendigere Phishing-Köder, die von Muttersprachlern zusammengestellt wurden, eine perfekte Grammatik und können sogar die Logos der legitimen Institution verwenden, die sie nachahmen möchten. Wenn Sie besonders vorsichtig sind und eine Anti-Malware-Suite ständig installiert und aktualisiert haben, können Sie die Gefahr des Öffnens einer schädlichen E-Mail und einer Infektion mit Malware weiter verringern.