A new campaign phishing προσπαθεί να μολύνει συσκευές με ένα keylogger and info-stealer called Agent Tesla, using a new malware loader.
Η Trustwave SpiderLabs είπε ότι εντόπισε ένα σχετικό phishing email στις αρχές Μαρτίου. Το κακόβουλο μήνυμα μεταμφιέζεται ως ειδοποίηση τραπεζικής πληρωμής, προτρέποντας τον User να ανοίξει ένα Attachment.
Το αρχείο (“Bank Handlowy w Warszawie – dowód wpłaty_pdf.tar.gz”) κρύβει έναν κακόβουλο loader, που ενεργοποιεί τη διαδικασία ανάπτυξης του Agent Tesla keylogger malware στον παραβιασμένο κεντρικό Computer.
See also: Phishing attacks target Apple users
“Το loader χρησιμοποίησε στη συνέχεια obfuscation για να αποφύγει την ανίχνευση και χρησιμοποιούσε πολύπλοκες μεθόδους αποκρυπτογράφησης“, stated the researcher Security Bernard Bautista.
Σύμφωνα με τους ερευνητές, το loader μπορεί να παρακάμπτει τις άμυνες ενός antivirus προγράμματος και να ανακτά το payload, χρησιμοποιώντας συγκεκριμένες διευθύνσεις URL και user agents που χρησιμοποιούν proxies για περαιτέρω obfuscation.
Η τακτική της ενσωμάτωσης κακόβουλου λογισμικού σε φαινομενικά νόμιμα Archives χρησιμοποιείται συχνά από εγκληματίες.
Ο loader που χρησιμοποιείται στην επίθεση είναι γραμμένος σε .NET, με την Trustwave να ανακαλύπτει δύο διαφορετικές παραλλαγές. Η καθεμία χρησιμοποιεί μια διαφορετική ρουτίνα αποκρυπτογράφησης αλλά και οι δύο ανακτούν το Agent Tesla keylogger από έναν απομακρυσμένο διακομιστή.
Σε μια προσπάθεια να αποφευχθεί ο εντοπισμός, το malware loader μπορεί, επίσης, να παρακάμπτει το Windows Antimalware Scan Interface (AMSI), το οποίο σαρώνει αρχεία, μνήμη και άλλα data για απειλές.
See also: Tycoon 2FA: New phishing platform bypasses 2FA in Microsoft 365 and Gmail
Η τελευταία φάση περιλαμβάνει την αποκωδικοποίηση και την εκτέλεση του Agent Tesla στη μνήμη, επιτρέποντας την κλοπή ευαίσθητων δεδομένων μέσω SMTP χρησιμοποιώντας έναν παραβιασμένο account email που σχετίζεται με έναν νόμιμο προμηθευτή συστημάτων ασφαλείας στην Τουρκία (“merve@temikan[.]com[.]tr “).
Σύμφωνα με τους ερευνητές της Trustwave, αυτός ο τρόπος attack προσφέρει ένα επίπεδο ανωνυμίας που καθιστά πιο δύσκολο τον εντοπισμό.
Για να προστατεύσετε τα συστήματά σας από το Agent Tesla, μπορείτε να λάβετε κάποια μέτρα για να αποφύγετε τα phishing emails.
Ένας από τους πιο αποτελεσματικούς τρόπους για την αποφυγή των phishing emails είναι η Education. Είναι σημαντικό να γνωρίζετε πώς φαίνονται τα phishing emails, να μπορείτε να αναγνωρίσετε τα σημάδια και να γνωρίζετε πώς να αντιδράτε.
Πάντα να ελέγχετε τη διεύθυνση email του αποστολέα. Τα phishing emails συχνά προέρχονται από Addresses που μοιάζουν να είναι νόμιμες, αλλά περιέχουν μικρές αλλαγές ή λάθη.
See also: Phishing attacks distribute StrelaStealer malware in Europe and the US
Προσέξτε τη γραμματική και την ορθογραφία. Τα phishing emails συχνά περιέχουν λάθη που μπορεί να μην είναι εμφανή κατά την πρώτη ματιά.
Ποτέ μην κάνετε κλικ σε συνδέσμους ή κατεβάσετε συνημμένα αρχεία από ένα ύποπτο email, καθώς μπορεί να περιέχει malware (π.χ. Agent Tesla). Αντ’ αυτού, πηγαίνετε απευθείας στον ιστότοπο ή την service που φαίνεται ότι προέρχεται το email.
Use εργαλεία ασφαλείας email. Πολλοί πάροχοι email προσφέρουν ενσωματωμένα εργαλεία που μπορούν να βοηθήσουν στην ανίχνευση και την αποφυγή των phishing emails.
Ενημερώστε το λογισμικό σας. Τα ενημερωμένα λειτουργικά συστήματα και τα προγράμματα ασφαλείας μπορούν να προστατεύσουν καλύτερα τον Computer σας από τις απειλές του phishing.
Εάν λάβετε ένα ύποπτο email, αναφέρετέ το. Η αναφορά των phishing emails μπορεί να βοηθήσει τους παρόχους email και τις Authorities να παρακολουθούν και να αντιμετωπίζουν τους εγκληματίες που βρίσκονται πίσω από αυτά.
Source: thehackernews.com
