Νέα phishing εκστρατεία χρησιμοποιεί το Agent Tesla malware
Ανιχνεύτηκε μια νέα καμπάνια phishing που διαθέτει κακόβουλο λογισμικό για την εξάπλωση του Agent Tesla, ένα πρόγραμμα κλοπής πληροφοριών και keylogger.
Η επίθεση που εντοπίστηκε στις 8 Μαρτίου, αποστέλλει phishing email που παρουσιάζουν ψεύτικες ειδοποιήσεις για τραπεζικές πληρωμές. Καλεί τους παραλήπτες να ανοίξουν ένα κακόβουλο συνημμένο αρχείο με τίτλο “Bank Handlowy w Warszawie – dowód wpłaty_pdf.tar.gz”. Αυτό το παραπλανητικό αρχείο περιέχει τον “loader” του κακόβουλου προγράμματος που ενεργοποιεί τη διαδικασία ανάπτυξης του Agent Tesla.
Ειδικότερα, το πρόγραμμα φόρτωσης μπορεί να αποφύγει τις αμυντικές προστασίες από ιούς, ανακτώντας το ωφέλιμο φορτίο του μέσω συγκεκριμένων διευθύνσεων URL και πρακτόρων χρήστη που χρησιμοποιούν διακομιστές μεσολάβησης για την απόκρυψη της κυκλοφορίας. Επιδεικνύει πολυμορφική συμπεριφορά με πολύπλοκες μεθόδους αποκρυπτογράφησης, αποφεύγοντας τον εντοπισμό επιδιορθώνοντας τη διασύνδεση σάρωσης προστασίας από κακόβουλο λογισμικό των Windows (AMSI). Ο πράκτορας Tesla, που εκτελείται στη μνήμη, επιτρέπει στους παράγοντες απειλών να διεισδύσουν κρυφά δεδομένα μέσω SMTP χρησιμοποιώντας παραβιασμένους λογαριασμούς email.
Παράλληλα, ανιχνεύτηκε μια άλλη εκστρατεία phishing από την hacking ομάδα TA544, η οποία διανέμει το WikiLoader μέσω αρχείων PDF τα οποία παρουσιάζονται ως νόμιμα τιμολόγια. Η αύξηση της χρήσης του phishing, ειδικά του Tycoon, που στοχεύει χρήστες του Microsoft 365, υπογραμμίζει τις συνεχιζόμενες απειλές.
Η Φινλανδία, πίσω από την επίθεση, εντόπισε hackers που υποστηρίζονται από την Κίνα, προσελκύοντας το ενδιαφέρον των αρχών των ΗΠΑ και του Ηνωμένου Βασιλείου. Οι έρευνες συνεχίζονται για να διαπιστωθεί η εμπλοκή του APT31 και σε άλλες κυβερνοεπιθέσεις, με έναν ύποπτο να έχει ήδη αναγνωριστεί.
