почтовые угрозы
Мы наблюдаем новую кампанию по массовой рассылке вредоносных писем по сотрудникам компаний с приложенным шпионским зловредом Agent Tesla. От множества аналогов эту рассылку отличает неожиданный уровень внимания злоумышленников к деталям — на этот раз послание злоумышленников действительно можно принять за реальное деловое письмо с приложенными документами. Цель — заставить получателя открыть приложение и запустить вредоносный файл.
Особенности вредоносной почтовой рассылки
Начнем с того, что злоумышленники как прикрытия используют реально существующие компании, снабжая свои письма реальными логотипами и легитимно выглядящими подписями. Английский язык в письмах не идеален, но, чтобы этот факт не смущал получателя, в качестве фирмы-отправителя обычно выбирают резидентов каких-то не англоговорящих стран — то Болгарии, то Малайзии.
Злоумышленники рассылают свой архив от имени множества компаний, меняя при этом и текст. То они запрашивают у сотрудников различных организаций цены на товары, перечисленные в приложенном архиве, то пытаются узнать, есть ли перечисленный товар в наличии, но, скорее всего, мы не видели все варианты «наживок». Главное — убедить жертву посмотреть, что за товары интересуют этого псевдоклиента. То есть авторы рассылки уделили достаточно много внимания подготовке, что нехарактерно для таких массовых кампаний — в прошлом подобные приемы чаще встречались в целевых атаках.
Пример письма злоумышленников с запросом цен и архивом с Agent Tesla
С точки зрения получателя, единственный признак, по которому невооруженным взглядом можно определить, что вам написал мошенник, — адрес отправителя. Его домен редко совпадает с названием фирмы, да и имя отправителя не очень похоже на имя в подписи — для легитимных деловых адресов это нехарактерно. В приведенном выше примере в качестве отправителя вообще фигурирует newsletter, что нормально для маркетинговой рассылки, но абсолютно ненормально для отправления письма с запросом цен на какие-либо товары.
Что за зловред Agent Tesla?
Agent Tesla, определяемый нашими решениями как Trojan-PSW.MSIL.Agensla, достаточно старый зловред, служит для кражи конфиденциальной информации и отправки ее организаторам атаки. В первую очередь он интересуется учетными данными, которые хранятся в разных программах: браузерах, почтовых клиентах, FTP/SCP-клиентах, базах данных, клиентах удаленного администрирования, VPN-приложениях, и нескольких мессенджерах. Впрочем, Agent Tesla также умеет перехватывать буфер обмена, записывать нажатия клавиш и делать снимки экрана.
Полученная таким образом информация отправляется злоумышленникам по электронной почте. Однако некоторые модификации зловреда умеют передавать данные через Telegram или закачивать их на веб-сайт или FTP-сервер.
Дополнительную информацию об этом трояне и всей вредоносной кампании, наряду с индиеаторами компрометации, можно найти в блоге на сайте Securelist.
Как оставаться в безопасности
По большому счету атаки такого рода должны останавливаться еще на этапе попадания опасного письма на корпоративный почтовый сервер. Это человеческий невооруженный взгляд не всегда может с первого раза увидеть в нем угрозу, а детектирующие технологии — вполне справляются с такими задачами. Поэтому сервер почты лучше всегда защищать соответствующим решением.
Впрочем, и взгляд небесполезно вооружить, если периодически повышать у сотрудников уровень осведомленности о современных киберугрозах. Например, при помощи обучающих онлайн-платформ.
Ну а чтобы гарантировать, что присланный злоумышленниками зловред не сможет запуститься на компьютерах сотрудников, их лучше также обеспечить защитой.
Советы