Nova campanha de phishing relacionada à Covid espalha o agente Tesla RAT
Mesmo que uma parte cada vez maior da população mundial esteja sendo vacinada contra Covid-19 e a histeria global que tomou conta do mundo na primeira metade de 2020 esteja agora gradualmente morrendo e a vida esteja lentamente voltando a uma aparência de normalidade, há ainda ansiedade suficiente para permitir que atores mal-intencionados e hackers executem esquemas relacionados ao vírus.
Na última instância das campanhas de malware com o tema da Covid, os pesquisadores de segurança notaram que uma nova campanha de phishing está em andamento, espalhando o Trojan de acesso remoto (RAT) do Agente Tesla. O novo impulso para espalhar o Agente Tesla foi detectado por pesquisadores de segurança romenos e usa um plano de vacinação Covid falso como isca.
O corpo dos e-mails maliciosos é escrito de maneira sucinta e comercial e incentiva as vítimas em potencial a agir e revisar algum tipo de "problema" inventado com seu registro de vacinação. A isca por e-mail menciona "problemas técnicos" não especificados e convida as vítimas a clicar em um link. Um dos primeiros sinais de que há algo errado com o e-mail é que ele contém vários erros gramaticais e sintáticos em seu texto, apesar de seu comprimento relativamente curto.
O Agente Tesla RAT em si não é novidade, ele tem sido rastreado por pesquisadores de segurança há quase uma década. Mesmo que o RAT tenha sido usado principalmente para roubar senhas no passado, suas versões mais recentes têm um conjunto expandido de recursos maliciosos, incluindo melhor prevenção de detecção e ferramentas ainda melhores de extração de dados.
O anexo malicioso transportado no e-mail de phishing é um arquivo .rtf no formato rich text que abusa de uma vulnerabilidade muito antiga que era extremamente popular entre os mal-intencionados alguns anos atrás. A vulnerabilidade em questão foi codificada como CVE-2017-11882 e foi corrigida há muito tempo, como sugere o identificador do ano de 2017 no designador. No entanto, parece que quem está executando esta campanha mais recente está em busca de usuários que ainda executam versões desatualizadas do Microsoft Office 2007 a 2016.
Qualquer informação que o RAT consegue extrair do sistema infectado, ele transfere para seus operadores por meio de SMTP.
Como em qualquer campanha de phishing, a melhor maneira de ficar seguro é nunca clicar em links ou abrir anexos contidos em e-mails não solicitados. Às vezes, iscas de phishing mais elaboradas compostas por falantes nativos têm gramática perfeita e podem até usar os logotipos da instituição legítima que estão tentando imitar. Ser extremamente cuidadoso e manter um pacote antimalware instalado e atualizado o tempo todo pode ajudar a reduzir ainda mais a ameaça de abrir um e-mail malicioso e ser infectado por malware.
