新的与 Covid 相关的网络钓鱼活动传播 Agent Tesla RAT
尽管世界上越来越多的人口接种了 Covid-19 疫苗,并且在 2020 年上半年席卷全球的歇斯底里情绪现在正逐渐消退,生活正在慢慢恢复正常,但仍然有足够的焦虑让不良行为者和黑客实施与病毒有关的计划。
在以 Covid 为主题的恶意软件活动的最新实例中,安全研究人员注意到一场新的网络钓鱼活动正在进行中,传播 Agent Tesla 远程访问木马 (RAT)。罗马尼亚安全研究人员发现了传播特工特斯拉的新举措,并使用虚假的 Covid 疫苗接种计划作为诱饵。
恶意电子邮件的正文以简洁、务实的方式编写,并鼓励潜在受害者采取行动并审查其疫苗接种登记中的某种虚构“问题”。电子邮件诱饵提到了未指明的“技术问题”,并邀请受害者点击链接。电子邮件存在问题的最先迹象之一是,尽管其长度相对较短,但其文本中有几个语法和句法错误。
Agent Tesla RAT 本身并不是什么新鲜事,安全研究人员已经对其进行了追踪,长达十年的大部分时间。尽管过去 RAT 主要用于窃取密码,但其最新版本具有一组扩展的恶意功能,包括更好的检测规避和更好的数据抓取工具。
钓鱼邮件中携带的恶意附件是一个富文本格式的 .rtf 文件,它利用了一个相当古老的漏洞,该漏洞在几年前非常受坏人欢迎。有问题的漏洞被编码为 CVE-2017-11882,并且已经长期修补,正如标识符中的 2017 年标识符所暗示的那样。然而,似乎无论是谁运行这个最新的活动,都在寻找仍在运行过时版本的 Microsoft Office 2007 到 2016 的用户。
RAT 设法从受感染系统中抓取的任何信息,都会通过 SMTP 传输给其操作员。
与任何网络钓鱼活动一样,保持安全的最佳方法是永远不要单击未经请求的电子邮件中包含的链接或打开附件。有时,由母语人士编写的更复杂的网络钓鱼诱饵具有完美的语法,甚至可以使用他们试图模仿的合法机构的徽标。格外小心并始终安装和更新反恶意软件套件可以帮助进一步减少打开恶意电子邮件和感染恶意软件的威胁。