ΑρχικήsecurityPhishing εκστρατεία με θέμα τον COVID-19 διαδίδει το AgentTesla Trojan!

Phishing εκστρατεία με θέμα τον COVID-19 διαδίδει το AgentTesla Trojan!

Eρευνητές της Area 1 Security ανακάλυψαν μια phishing εκστρατεία που αναπτύσσει δραστηριότητα σε παγκόσμια κλίμακα και υποτίθεται ότι παρέχει πληροφορίες σχετικά με μάσκες προσώπου καθώς και άλλο ατομικό προστατευτικό εξοπλισμό, στα πλαίσια της πανδημίας του COVID-19, έχοντας ως στόχο να μολύνει τις συσκευές των υποψήφιων θυμάτων με το Trojan απομακρυσμένης πρόσβασης AgentTesla.

Οι ερευνητές ασφαλείας εντόπισαν για πρώτη φορά το AgentTesla Trojan το 2014, ενώ αυτό είναι πλέον διαθέσιμο προς ενοικίαση σε διάφορα υπόγεια φόρουμ, σε τιμές που κυμαίνονται από 12 $ για μηνιαία ενοικίαση έως 35 $ για εξάμηνη μίσθωση, σύμφωνα με μια έκθεση από την Sentinal Labs που κυκλοφόρησε νωρίτερα αυτό το μήνα.

COVID-19

Η εκστρατεία, η οποία φαίνεται να ξεκίνησε την δραστηριότητά της τον Μάιο, χρησιμοποιεί phishing emails που πλαστογραφούν μηνύματα από χημικούς κατασκευαστές, καθώς και επιχειρήσεις εισαγωγής / εξαγωγής.

Αξιοσημείωτο είναι το γεγονός ότι οι απατεώνες που βρίσκονται πίσω από αυτή την εκστρατεία αλλάζουν την τακτική, τις τεχνικές και τις διαδικασίες που ακολουθούν κάθε 10 ημέρες, τροποποιώντας τα μηνύματα και τα πλαστογραφημένα domains, ώστε να μην μπορούν να εντοπιστούν.

Αυτά τα phishing emails εκτιμάται ότι έχουν στοχεύσει χιλιάδες εισερχόμενα χρηστών, αν και ο ρυθμός της επίθεσης έχει επιβραδυνθεί από τις 13 Αυγούστου. Σύμφωνα με την Juliette Cash, ερευνήτρια απειλών στην Area 1 Security, αυτό μπορεί να σημαίνει ότι οι απατεώνες κάνουν ένα διάλειμμα για να ανανεώσουν και να ενισχύσουν τις στρατηγικές τους για ακόμα μια φορά.

phishing εκστρατεία COVID-19

Η εν λόγω phishing εκστρατεία στοχεύει εταιρείες σε όλο τον κόσμο, καλύπτοντας ποικίλους βιομηχανικούς κλάδους, συμπεριλαμβανομένων των αμερικανικών διεθνών εταιρειών. Στο στόχαστρο της εκστρατείας είχαν βρεθεί στο παρελθόν και τα σημερινά στελέχη εταιρειών του Fortune 500, συμπεριλαμβανομένων διευθυντών ασφαλείας από κάθε γωνιά της γης. Επιπλέον, πιστεύεται πως οι επιτιθέμενοι χρησιμοποιούν παραπάνω από ένα “όπλα” για να προσελκύσουν ανυποψίαστα θύματα.

Στόχος των phishing emails που αποστέλλονται στα πλαίσια της εκστρατείας, είναι να μολύνουν συσκευές με το AgentTesla, έναν εφάπαξ “κλέφτη” πληροφοριών που έχει εξελιχθεί σε Trojan ή RAT απομακρυσμένης πρόσβασης. Από το ξέσπασμα της πανδημίας του COVID-19, αυτό το malware έγινε δημοφιλές στους απατεώνες και τους κυβερνοεγκληματίες, λόγω της ικανότητάς του να αποφεύγει τον εντοπισμό καθώς και λόγω των χαμηλών τελών αδειοδότησης σε υπόγεια φόρουμ, που το καθιστούν προσιτό για ενοικίαση και ανάπτυξη.

phishing εκστρατεία COVID-19

Η phishing εκστρατεία πλαστογραφεί νόμιμες εταιρείες που διαφημίζουν προστατευτικές μάσκες προσώπου καθώς και άλλα ιατρικά είδη που χρησιμοποιούνται για την αποφυγή μετάδοσης του COVID-19. Μία από αυτές τις εταιρείες ήταν ο προμηθευτής χημικών “Transchem”. Επιπλέον, τα μηνύματα χρησιμοποιούν μερικές φορές τα ονόματα των υπαλλήλων για να προσθέσουν ένα άλλο επίπεδο νομιμότητας.

Κατά τη διάρκεια της εκστρατείας, οι απατεώνες κάνουν rotation σε διευθύνσεις IP για να παρακάμψουν ορισμένες προστασίες ασφαλείας και να επωφεληθούν από εσφαλμένα διαμορφωμένα πρωτόκολλα ελέγχου ταυτότητας email, όπως το DMARC, προκειμένου να μεταφέρουν τα κακόβουλα emails στα εισερχόμενα των θυμάτων.

AgentTesla Trojan

Τα phishing emails περιέχουν ένα συνημμένο έγγραφο που μοιάζει με αρχείο PDF και συνήθως έχει την εξής ονομασία: “Προμηθευτής-Μάσκα προσώπου Forehead Thermometer.pdf.gz”. Εάν το αρχείο ανοιχτεί και αποσυμπιεστεί, ενεργοποιούνται οι μακροεντολές και το AgentTesla Trojan μεταφέρεται στη συσκευή που έχει παραβιαστεί. Μόλις μεταφερθεί σε μια συσκευή, το AgentTesla Trojan συνδέεται με έναν command-and-control server για να λάβει πρόσθετες οδηγίες από τους απατεώνες. Το malware αποκτά συνήθως πρόσβαση στον φάκελο AppData που περιέχει ρυθμίσεις, αρχεία και δεδομένα για εφαρμογές Windows. Στη συνέχεια, αυτό θα προσπαθήσει να φορτώσει τις “δυναμικές συνδέσεις συνδέσμων” που λείπουν και να πραγματοποιήσει λήψη πρόσθετων αρχείων προκειμένου να απομακρυνθούν οι κλεμμένες πληροφορίες από τον φάκελο AppData. Οι απατεώνες προσπαθούν να συλλέξουν όσο το δυνατόν περισσότερα δεδομένα από τις συσκευές που παραβιάζουν. Μεταξύ των στοιχείων που μπορούν να συλλέξουν μέσω του AgentTesla Trojan περιλαμβάνονται δεδομένα διαμόρφωσης καθώς και credentials από web browsers, email, VPN και FTP. Επειδή όμως το AgentTesla είναι Trojan απομακρυσμένης πρόσβασης, εκθέτει τις επηρεαζόμενες συσκευές και σε άλλες, και ενδεχομένως πιο επιζήμιες, επιθέσεις.

Ενώ το AgentTesla Trojan έχει εμφανιστεί σε BEC απάτες που προέρχονται από τη Νιγηρία, η εταιρεία ασφαλείας Bitdefender ανέφερε τον Απρίλιο ότι το malware έχει επίσης χρησιμοποιηθεί σε μια σειρά επιθέσεων που στοχεύουν την παγκόσμια βιομηχανία πετρελαίου και φυσικού αερίου. Επίσης τον Απρίλιο, οι ερευνητές της Palo Alto Networks’ Unit 42 παρατήρησαν μία σημαντική αύξηση στα phishing emails με θέμα τον COVID-19, τα οποία επιχείρησαν να αναπτύξουν το Trojan σε ένα ευρύ φάσμα βιομηχανιών.

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS