La nuova campagna di phishing correlata al Covid diffonde l'agente Tesla RAT
Anche se una parte sempre più ampia della popolazione mondiale si sta vaccinando per il Covid-19 e l'isteria globale che ha attanagliato il mondo nella prima metà del 2020 sta gradualmente svanendo e la vita sta lentamente tornando a una parvenza di normalità, c'è ancora abbastanza ansia da consentire ai cattivi attori e agli hacker di mettere in atto schemi legati al virus.
Nell'ultima istanza di campagne di malware a tema Covid, i ricercatori della sicurezza hanno notato che è in corso una nuova campagna di phishing, che sta diffondendo il Trojan ad accesso remoto (RAT) dell'agente Tesla. La nuova spinta alla diffusione dell'agente Tesla è stata individuata dai ricercatori della sicurezza rumeni e utilizza un falso piano di vaccinazione Covid come esca.
Il corpo delle e-mail dannose è scritto in modo conciso e professionale e incoraggia le potenziali vittime ad agire e rivedere una sorta di "problema" inventato con la registrazione della vaccinazione. L'esca e-mail menziona "problemi tecnici" non specificati e invita le vittime a fare clic su un collegamento. Uno dei primissimi segni che c'è qualcosa che non va nell'e-mail è che ha diversi errori grammaticali e sintattici nel suo testo, nonostante la sua lunghezza relativamente breve.
L'agente Tesla RAT in sé non è una novità, è stato monitorato dai ricercatori di sicurezza per la maggior parte di un decennio ormai. Anche se il RAT è stato utilizzato principalmente per rubare le password in passato, le sue versioni più recenti hanno una serie ampliata di funzionalità dannose, tra cui una migliore prevenzione del rilevamento e strumenti di scraping dei dati ancora migliori.
L'allegato dannoso contenuto nell'e-mail di phishing è un file .rtf in formato RTF che abusa di una vulnerabilità piuttosto vecchia che era molto popolare tra i malintenzionati alcuni anni fa. La vulnerabilità in questione è stata codificata come CVE-2017-11882 ed è stata patchata da tempo, come suggerisce l'identificatore dell'anno 2017 nel designatore. Tuttavia, sembra che chiunque stia eseguendo quest'ultima campagna sia alla ricerca di utenti che utilizzano ancora versioni obsolete di Microsoft Office dal 2007 al 2016.
Qualsiasi informazione che il RAT riesce a sottrarre al sistema infetto, la trasferisce ai suoi operatori tramite SMTP.
Come con qualsiasi campagna di phishing, il modo migliore per stare al sicuro è non fare mai clic sui collegamenti o aprire gli allegati contenuti nelle e-mail non richieste. A volte esche di phishing più elaborate composte da madrelingua hanno una grammatica perfetta e possono persino utilizzare i loghi dell'istituzione legittima che stanno cercando di imitare. Prestare molta attenzione e mantenere sempre installata e aggiornata una suite anti-malware può aiutare a ridurre ulteriormente la minaccia di aprire un'e-mail dannosa e di essere infettati da malware.
