Νέα καμπάνια Phishing που σχετίζεται με το Covid Agent Tesla RAT

Παρόλο που ένα όλο και μεγαλύτερο μέρος του παγκόσμιου πληθυσμού εμβολιάζεται για το Covid-19 και η παγκόσμια υστερία που είχε πιάσει τον κόσμο το πρώτο εξάμηνο του 2020 τώρα βαθμιαία πεθαίνει και η ζωή επιστρέφει αργά σε μια ομοιότητα, υπάρχει εξακολουθεί να υπάρχει αρκετό άγχος για να επιτρέψει στους κακούς ηθοποιούς και τους χάκερ να βγάλουν σχέδια που σχετίζονται με τον ιό.

Στην τελευταία εμφάνιση καμπανιών κακόβουλου λογισμικού με θέμα το Covid, οι ερευνητές ασφαλείας παρατήρησαν ότι μια νέα καμπάνια ηλεκτρονικού ψαρέματος βρίσκεται σε εξέλιξη, διαδίδοντας το Agro Tesla Trojan (RAT) απομακρυσμένης πρόσβασης. Η νέα ώθηση για διάδοση του πράκτορα Tesla εντοπίστηκε από ρουμάνους ερευνητές ασφαλείας και χρησιμοποιεί το ψεύτικο σχέδιο εμβολιασμού Covid ως δέλεαρ.

Το σώμα των κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου είναι γραμμένο με έναν σύντομο, επιχειρηματικό τρόπο και ενθαρρύνει τα δυνητικά θύματα να αναλάβουν δράση και να επανεξετάσουν ένα είδος "προβληματικού" προβλήματος κατά την εγγραφή εμβολιασμού τους. Το δόλωμα ηλεκτρονικού ταχυδρομείου αναφέρει μη καθορισμένα "τεχνικά προβλήματα" και καλεί τα θύματα να κάνουν κλικ σε έναν σύνδεσμο. Ένα από τα πρώτα σημάδια ότι υπάρχει κάτι λάθος με το email είναι ότι έχει πολλά γραμματικά και συντακτικά λάθη στο κείμενό του, παρά το σχετικά μικρό μήκος του.

Ο ίδιος ο πράκτορας Tesla RAT δεν είναι κάτι καινούργιο, παρακολουθείται από ερευνητές ασφαλείας για το μεγαλύτερο μέρος μιας δεκαετίας τώρα. Παρόλο που το RAT χρησιμοποιήθηκε κυρίως για την κλοπή κωδικών πρόσβασης στο παρελθόν, οι νεότερες εκδόσεις του έχουν ένα εκτεταμένο σύνολο κακόβουλων δυνατοτήτων, συμπεριλαμβανομένης της καλύτερης αποφυγής εντοπισμού και ακόμη καλύτερων εργαλείων απόσυρσης δεδομένων.

Το κακόβουλο συνημμένο που περιλαμβάνεται στο ηλεκτρονικό ταχυδρομείο ηλεκτρονικού ψαρέματος (phishing) είναι ένα αρχείο .rtf μορφής εμπλουτισμένου κειμένου που καταχράται μια αρκετά παλιά ευπάθεια που ήταν εξαιρετικά δημοφιλής στους κακούς ηθοποιούς πριν από μερικά χρόνια. Η εν λόγω ευπάθεια κωδικοποιήθηκε ως CVE-2017-11882 και έχει από καιρό επιδιορθωθεί, όπως προτείνει το αναγνωριστικό έτους 2017 στον προσδιοριστή. Ωστόσο, φαίνεται ότι όποιος εκτελεί αυτήν την τελευταία καμπάνια αναζητά χρήστες που εξακολουθούν να εκτελούν παλιές εκδόσεις του Microsoft Office 2007 έως 2016.

Οποιαδήποτε πληροφορία καταφέρνει να αφαιρέσει από το μολυσμένο σύστημα, μεταφέρει στους χειριστές του μέσω SMTP.

Όπως συμβαίνει με οποιαδήποτε καμπάνια ηλεκτρονικού ψαρέματος (phishing), ο καλύτερος τρόπος για να παραμείνετε ασφαλείς είναι να μην κάνετε ποτέ κλικ σε συνδέσμους ή να ανοίξετε συνημμένα που περιέχονται σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου. Μερικές φορές τα πιο περίπλοκα θέλγητρα ηλεκτρονικού ψαρέματος που αποτελούνται από εγγενείς ομιλητές έχουν τέλεια γραμματική και μπορούν ακόμη και να χρησιμοποιήσουν τα λογότυπα του νόμιμου ιδρύματος που προσπαθούν να μιμηθούν. Το να είστε πολύ προσεκτικοί και να διατηρείτε εγκατεστημένη και ενημερωμένη τη σουίτα κατά του κακόβουλου λογισμικού, μπορεί να σας βοηθήσει να μειώσετε περαιτέρω την απειλή ανοίγματος ενός κακόβουλου μηνύματος ηλεκτρονικού ταχυδρομείου και να μολυνθείτε από κακόβουλο λογισμικό.