Nowa kampania phishingowa związana z Covid rozprzestrzenia agenta Teslę RAT

Chociaż coraz większa część światowej populacji jest szczepiona przeciwko Covid-19, a globalna histeria, która ogarnęła świat w pierwszej połowie 2020 roku, stopniowo zanika, a życie powoli wraca do pozorów normalności, wciąż wystarczająco dużo niepokoju, aby pozwolić złym aktorom i hakerom na realizację planów związanych z wirusem.

W najnowszym przypadku kampanii złośliwego oprogramowania o tematyce Covid analitycy bezpieczeństwa zauważyli, że rozpoczyna się nowa kampania phishingowa, rozprzestrzeniająca trojana zdalnego dostępu Agent Tesla (RAT). Nowy nacisk na rozpowszechnianie agenta Tesli został zauważony przez rumuńskich badaczy bezpieczeństwa i jako przynętę wykorzystuje fałszywy plan szczepień przeciwko Covidowi.

Treść złośliwych wiadomości e-mail jest napisana w zwięzły, biznesowy sposób i zachęca potencjalne ofiary do podjęcia działań i przejrzenia jakiegoś wymyślonego „problemu” z rejestracją szczepień. Przynęta e-mailowa wspomina nieokreślone „problemy techniczne” i zachęca ofiary do kliknięcia łącza. Jedną z pierwszych oznak, że coś jest nie tak z wiadomością e-mail, jest to, że zawiera ona kilka błędów gramatycznych i składniowych w tekście, mimo że jest stosunkowo krótka.

Sam Agent Tesla RAT nie jest niczym nowym, był śledzony przez badaczy bezpieczeństwa przez większą część dekady. Mimo że RAT był używany głównie do kradzieży haseł w przeszłości, jego najnowsze wersje mają rozszerzony zestaw złośliwych możliwości, w tym lepsze unikanie wykrywania i jeszcze lepsze narzędzia do scrapingu danych.

Złośliwy załącznik zawarty w wiadomości phishingowej to plik w formacie sformatowanego tekstu .rtf, który wykorzystuje dość starą lukę w zabezpieczeniach, która była bardzo popularna wśród złych przestępców kilka lat temu. Omawiana luka została skodyfikowana jako CVE-2017-11882 i od dawna jest łatana, jak sugeruje identyfikator roku 2017 w oznaczeniu. Wygląda jednak na to, że ktokolwiek prowadzi tę najnowszą kampanię, szuka użytkowników, którzy nadal korzystają z przestarzałych wersji pakietu Microsoft Office 2007-2016.

Wszelkie informacje, które RAT zdoła wydobyć z zainfekowanego systemu, przekazuje swoim operatorom za pośrednictwem SMTP.

Podobnie jak w przypadku każdej kampanii phishingowej, najlepszym sposobem na zachowanie bezpieczeństwa jest nigdy nie klikanie linków ani otwieranie załączników zawartych w niechcianych wiadomościach e-mail. Czasami bardziej wymyślne przynęty phishingowe tworzone przez native speakerów mają doskonałą gramatykę i mogą nawet używać logo legalnej instytucji, którą próbują naśladować. Zachowanie szczególnej ostrożności i stałe instalowanie i aktualizowanie pakietu chroniącego przed złośliwym oprogramowaniem może pomóc jeszcze bardziej zmniejszyć ryzyko otwarcia złośliwej wiadomości e-mail i zainfekowania złośliwym oprogramowaniem.