Μια νέα καμπάνια phishing προσπαθεί να μολύνει συσκευές με ένα keylogger και info-stealer που ονομάζεται Agent Tesla, χρησιμοποιώντας ένα νέο malware loader.
Η Trustwave SpiderLabs είπε ότι εντόπισε ένα σχετικό phishing email στις αρχές Μαρτίου. Το κακόβουλο μήνυμα μεταμφιέζεται ως ειδοποίηση τραπεζικής πληρωμής, προτρέποντας τον χρήστη να ανοίξει ένα συνημμένο.
Το αρχείο (“Bank Handlowy w Warszawie – dowód wpłaty_pdf.tar.gz”) κρύβει έναν κακόβουλο loader, που ενεργοποιεί τη διαδικασία ανάπτυξης του Agent Tesla keylogger malware στον παραβιασμένο κεντρικό υπολογιστή.
Δείτε επίσης: Phishing επιθέσεις στοχεύουν χρήστες Apple
“Το loader χρησιμοποίησε στη συνέχεια obfuscation για να αποφύγει την ανίχνευση και χρησιμοποιούσε πολύπλοκες μεθόδους αποκρυπτογράφησης“, δήλωσε ο ερευνητής ασφαλείας Bernard Bautista.
Σύμφωνα με τους ερευνητές, το loader μπορεί να παρακάμπτει τις άμυνες ενός antivirus προγράμματος και να ανακτά το payload, χρησιμοποιώντας συγκεκριμένες διευθύνσεις URL και user agents που χρησιμοποιούν proxies για περαιτέρω obfuscation.
Η τακτική της ενσωμάτωσης κακόβουλου λογισμικού σε φαινομενικά νόμιμα αρχεία χρησιμοποιείται συχνά από εγκληματίες.
Ο loader που χρησιμοποιείται στην επίθεση είναι γραμμένος σε .NET, με την Trustwave να ανακαλύπτει δύο διαφορετικές παραλλαγές. Η καθεμία χρησιμοποιεί μια διαφορετική ρουτίνα αποκρυπτογράφησης αλλά και οι δύο ανακτούν το Agent Tesla keylogger από έναν απομακρυσμένο διακομιστή.
Σε μια προσπάθεια να αποφευχθεί ο εντοπισμός, το malware loader μπορεί, επίσης, να παρακάμπτει το Windows Antimalware Scan Interface (AMSI), το οποίο σαρώνει αρχεία, μνήμη και άλλα δεδομένα για απειλές.
Δείτε επίσης: Tycoon 2FA: Νέα phishing πλατφόρμα παρακάμπτει το 2FA σε Microsoft 365 και Gmail
Η τελευταία φάση περιλαμβάνει την αποκωδικοποίηση και την εκτέλεση του Agent Tesla στη μνήμη, επιτρέποντας την κλοπή ευαίσθητων δεδομένων μέσω SMTP χρησιμοποιώντας έναν παραβιασμένο λογαριασμό email που σχετίζεται με έναν νόμιμο προμηθευτή συστημάτων ασφαλείας στην Τουρκία (“merve@temikan[.]com[.]tr “).
Σύμφωνα με τους ερευνητές της Trustwave, αυτός ο τρόπος επίθεσης προσφέρει ένα επίπεδο ανωνυμίας που καθιστά πιο δύσκολο τον εντοπισμό.
Για να προστατεύσετε τα συστήματά σας από το Agent Tesla, μπορείτε να λάβετε κάποια μέτρα για να αποφύγετε τα phishing emails.
Ένας από τους πιο αποτελεσματικούς τρόπους για την αποφυγή των phishing emails είναι η εκπαίδευση. Είναι σημαντικό να γνωρίζετε πώς φαίνονται τα phishing emails, να μπορείτε να αναγνωρίσετε τα σημάδια και να γνωρίζετε πώς να αντιδράτε.
Πάντα να ελέγχετε τη διεύθυνση email του αποστολέα. Τα phishing emails συχνά προέρχονται από διευθύνσεις που μοιάζουν να είναι νόμιμες, αλλά περιέχουν μικρές αλλαγές ή λάθη.
Δείτε επίσης: Phishing επιθέσεις διανέμουν το StrelaStealer malware σε Ευρώπη και ΗΠΑ
Προσέξτε τη γραμματική και την ορθογραφία. Τα phishing emails συχνά περιέχουν λάθη που μπορεί να μην είναι εμφανή κατά την πρώτη ματιά.
Ποτέ μην κάνετε κλικ σε συνδέσμους ή κατεβάσετε συνημμένα αρχεία από ένα ύποπτο email, καθώς μπορεί να περιέχει malware (π.χ. Agent Tesla). Αντ’ αυτού, πηγαίνετε απευθείας στον ιστότοπο ή την υπηρεσία που φαίνεται ότι προέρχεται το email.
Χρησιμοποιήστε εργαλεία ασφαλείας email. Πολλοί πάροχοι email προσφέρουν ενσωματωμένα εργαλεία που μπορούν να βοηθήσουν στην ανίχνευση και την αποφυγή των phishing emails.
Ενημερώστε το λογισμικό σας. Τα ενημερωμένα λειτουργικά συστήματα και τα προγράμματα ασφαλείας μπορούν να προστατεύσουν καλύτερα τον υπολογιστή σας από τις απειλές του phishing.
Εάν λάβετε ένα ύποπτο email, αναφέρετέ το. Η αναφορά των phishing emails μπορεί να βοηθήσει τους παρόχους email και τις αρχές να παρακολουθούν και να αντιμετωπίζουν τους εγκληματίες που βρίσκονται πίσω από αυτά.
Πηγή: thehackernews.com
