Nieuwe covid-gerelateerde phishingcampagne verspreidt agent Tesla RAT

Hoewel een steeds groter deel van de wereldbevolking wordt ingeënt tegen Covid-19 en de wereldwijde hysterie die de wereld in de eerste helft van 2020 in zijn greep had, nu geleidelijk afneemt en het leven langzaam terugkeert naar een schijn van normaalheid, is er nog steeds genoeg angst om slechte acteurs en hackers in staat te stellen schema's met betrekking tot het virus uit te voeren.

In het laatste exemplaar van malware-campagnes met Covid-thema hebben beveiligingsonderzoekers opgemerkt dat er een nieuwe phishing-campagne aan de gang is, waarbij de Agent Tesla Remote Access Trojan (RAT) wordt verspreid. De nieuwe push om Agent Tesla te verspreiden werd opgemerkt door Roemeense veiligheidsonderzoekers en gebruikt een nep Covid-vaccinatieplan als lokaas.

De inhoud van de kwaadaardige e-mails is op een beknopte, zakelijke manier geschreven en moedigt potentiële slachtoffers aan om actie te ondernemen en een soort verzonnen "probleem" met hun vaccinatieregistratie te bekijken. Het e-maillokmiddel vermeldt niet-gespecificeerde "technische problemen" en nodigt slachtoffers uit om op een link te klikken. Een van de allereerste tekenen dat er iets mis is met de e-mail, is dat de e-mail ondanks zijn relatief korte lengte verschillende grammaticale en syntactische fouten bevat.

De Agent Tesla RAT zelf is niets nieuws, hij wordt nu al bijna tien jaar gevolgd door beveiligingsonderzoekers. Hoewel de RAT in het verleden voornamelijk werd gebruikt om wachtwoorden te stelen, hebben de nieuwste versies een uitgebreide reeks kwaadaardige mogelijkheden, waaronder betere detectievermijding en nog betere tools voor het schrapen van gegevens.

De kwaadaardige bijlage in de phishing-e-mail is een RTF-bestand in rich-text-indeling dat misbruik maakt van een vrij oude kwetsbaarheid die een paar jaar geleden enorm populair was bij kwaadwillenden. De kwetsbaarheid in kwestie is gecodificeerd als CVE-2017-11882 en is al lang gepatcht, zoals de jaaraanduiding 2017 in de aanduiding suggereert. Het lijkt er echter op dat degene die deze nieuwste campagne uitvoert op zoek is naar gebruikers die nog steeds verouderde versies van Microsoft Office 2007 tot 2016 gebruiken.

Alle informatie die de RAT van het geïnfecteerde systeem weet te schrapen, geeft het via SMTP door aan zijn operators.

Zoals bij elke phishing-campagne, is de beste manier om veilig te blijven, nooit op links te klikken of bijlagen in ongevraagde e-mails te openen. Soms hebben meer uitgebreide phishing-lokmiddelen samengesteld door moedertaalsprekers een perfecte grammatica en kunnen ze zelfs de logo's gebruiken van de legitieme instelling die ze proberen na te bootsen. Door extra voorzichtig te zijn en te allen tijde een anti-malwaresuite geïnstalleerd en bijgewerkt te houden, kunt u de dreiging van het openen van een schadelijke e-mail en besmetting met malware verder verminderen.