Ny Covid-relatert phishing-kampanje sprer agent Tesla RAT

Selv om en stadig større del av verdens befolkning blir vaksinert for Covid-19 og det globale hysteriet som hadde grepet verden i første halvdel av 2020, nå gradvis dør ned og livet sakte vender tilbake til et skinn av normalitet, er det fremdeles nok angst for å la dårlige skuespillere og hackere trekke ordninger relatert til viruset.

I det siste tilfellet av malware-kampanjer med Covid-tema, har sikkerhetsforskere lagt merke til at en ny phishing-kampanje er i gang, og sprer Agent Tesla Trojan (RAT) for ekstern tilgang. Det nye presset for å spre agent Tesla ble oppdaget av rumenske sikkerhetsforskere og bruker en falsk Covid-vaksinasjonsplan som lokke.

Kroppen til de ondsinnede e-postene er skrevet på en kortfattet, forretningslignende måte og oppfordrer potensielle ofre til å ta affære og gjennomgå en slags sminket "problem" med vaksinasjonsregistreringen. E-post-agnet nevner uspesifiserte "tekniske problemer" og inviterer ofrene til å klikke på en lenke. Et av de aller første tegnene på at det er noe galt med e-posten er at den har flere grammatiske og syntaktiske feil i teksten, til tross for den relativt korte lengden.

Agent Tesla RAT i seg selv er ikke noe nytt, det har blitt sporet av sikkerhetsforskere for en bedre del av et tiår nå. Selv om RAT først og fremst ble brukt til å stjele passord tidligere, har de nyeste versjonene et utvidet sett med ondsinnede muligheter, inkludert bedre oppdagelsesundgåelse og enda bedre verktøy for dataskraping.

Det ondsinnede vedlegget som bæres i phishing-e-posten, er en .rtf-fil med rikt tekstformat som misbruker en ganske gammel sårbarhet som var enormt populær blant dårlige skuespillere for noen år siden. Det aktuelle sikkerhetsproblemet ble kodifisert som CVE-2017-11882 og har for lengst blitt lappet, slik 2017-årsidentifikatoren i designatoren antyder. Imidlertid ser det ut til at den som kjører denne siste kampanjen, er på utkikk etter brukere som fremdeles kjører utdaterte versjoner av Microsoft Office 2007 til 2016.

All informasjon RAT klarer å skrape fra det infiserte systemet, overføres til operatørene via SMTP.

Som med alle phishing-kampanjer, er den beste måten å være trygg på å aldri klikke på lenker eller åpne vedlegg i uønskede e-poster. Noen ganger har mer forseggjorte phishing-lokker sammensatt av morsmål perfekt grammatikk og kan til og med bruke logoene til den legitime institusjonen de prøver å etterligne. Å være ekstra forsiktig og holde en anti-malware-pakke installert og oppdatert til enhver tid, kan bidra til å redusere trusselen om å åpne en ondsinnet e-post og bli smittet med skadelig programvare.