Новая кампания против фишинга, связанного с Covid, распространяет агент Tesla RAT

Несмотря на то, что все большая часть населения мира вакцинируется от Covid-19, а глобальная истерия, охватившая мир в первой половине 2020 года, теперь постепенно утихает, а жизнь постепенно возвращается к подобию нормальной жизни, есть все еще достаточно беспокойства, чтобы позволить злоумышленникам и хакерам реализовать схемы, связанные с вирусом.

В последнем случае вредоносных кампаний на тему Covid исследователи безопасности заметили, что начинается новая фишинговая кампания, распространяющая трояна удаленного доступа Agent Tesla (RAT). Новый толчок к распространению агента Тесла был замечен румынскими исследователями безопасности и использует поддельный план вакцинации против Covid в качестве приманки.

Основная часть вредоносных писем написана лаконично, по-деловому и побуждает потенциальных жертв принять меры и рассмотреть какую-то выдуманную «проблему» с регистрацией вакцинации. Электронная приманка упоминает неуказанные «технические проблемы» и предлагает жертвам щелкнуть ссылку. Одним из первых признаков того, что с электронным письмом что-то не так, является то, что в его тексте есть несколько грамматических и синтаксических ошибок, несмотря на его относительно небольшую длину.

Сам агент Tesla RAT не является чем-то новым, исследователи в области безопасности отслеживают его уже более десяти лет. Несмотря на то, что в прошлом RAT в основном использовался для кражи паролей, его новейшие версии обладают расширенным набором вредоносных возможностей, в том числе улучшенным предотвращением обнаружения и даже лучшими инструментами очистки данных.

Вредоносное вложение, содержащееся в фишинговом письме, представляет собой RTF-файл в расширенном текстовом формате, который использует довольно старую уязвимость, которая была очень популярна среди злоумышленников несколько лет назад. Рассматриваемая уязвимость была кодифицирована как CVE-2017-11882 и уже давно исправлена, как следует из идентификатора 2017 года в обозначении. Однако похоже, что тот, кто проводит эту последнюю кампанию, ищет пользователей, которые все еще используют устаревшие версии Microsoft Office 2007–2016.

Любая информация, которую RAT удается очистить от зараженной системы, передает своим операторам через SMTP.

Как и в случае с любой фишинг-кампанией, лучший способ обезопасить себя - никогда не переходить по ссылкам и не открывать вложения, содержащиеся в нежелательных электронных письмах. Иногда более сложные фишинговые приманки, составленные носителями языка, имеют идеальную грамматику и могут даже использовать логотипы законного учреждения, которому они пытаются подражать. Если вы будете проявлять особую осторожность и постоянно поддерживать установленный и обновленный пакет защиты от вредоносных программ, это поможет еще больше снизить угрозу открытия вредоносного электронного письма и заражения вредоносным ПО.