Ny Covid-relaterad nätfiskekampanj sprider agent Tesla RAT
Även om en allt större del av världens befolkning vaccineras för Covid-19 och den globala hysterin som hade gripit världen under första hälften av 2020 nu gradvis dör ner och livet sakta återgår till en sken av normalitet, finns det fortfarande tillräcklig ångest för att låta dåliga skådespelare och hackare dra av sig scheman relaterade till viruset.
I det senaste fallet av skadliga kampanjer med Covid-tema har säkerhetsforskare lagt märke till att en ny nätfiske-kampanj pågår och sprider Agent Tesla Trojan (RAT) för fjärråtkomst. Den nya pressen att sprida agent Tesla upptäcktes av rumänska säkerhetsforskare och använder en falsk Covid-vaccinationsplan som lockbete.
Kroppen av de skadliga e-postmeddelandena är skriven på ett kortfattat, affärsliknande sätt och uppmuntrar potentiella offer att vidta åtgärder och granska någon form av sminkad "fråga" med sin vaccinationsregistrering. E-postbetet nämner ospecificerade "tekniska problem" och uppmanar offren att klicka på en länk. Ett av de allra första tecknen på att det är något fel med e-postmeddelandet är att det har flera grammatiska och syntaktiska misstag i texten, trots dess relativt korta längd.
Agent Tesla RAT själv är inget nytt, det har spårats av säkerhetsforskare under större delen av ett decennium nu. Även om RAT primärt användes för att stjäla lösenord tidigare, har de senaste versionerna en utökad uppsättning skadliga funktioner, inklusive bättre detekteringsundvikande och ännu bättre dataskrapningsverktyg.
Den skadliga bilagan i phishing-e-postmeddelandet är en .rtf-fil med rikt textformat som missbrukar en ganska gammal sårbarhet som var enormt populär bland dåliga skådespelare för några år sedan. Sårbarheten i fråga kodifierades som CVE-2017-11882 och har sedan länge patchats, vilket identifieraren för 2017 i designatorn antyder. Det verkar dock att den som kör den senaste kampanjen är på utkik efter användare som fortfarande kör föråldrade versioner av Microsoft Office 2007 till 2016.
All information som RAT lyckas skrapa från det infekterade systemet, överförs till sina operatörer via SMTP.
Som med alla nätfiske-kampanjer är det bästa sättet att vara säker att aldrig klicka på länkar eller öppna bilagor i oönskade e-postmeddelanden. Ibland har mer detaljerade phishing-beten som är sammansatta av infödda talare perfekt grammatik och kan till och med använda logotyperna för den legitima institution som de försöker efterlikna. Att vara extra försiktig och hålla en anti-malware-svit installerad och uppdaterad hela tiden kan hjälpa till att ytterligare minska hotet om att öppna ett skadligt e-postmeddelande och bli smittad med skadlig kod.
