Η Kaspersky ανακάλυψε μια ασυνήθιστη εκστρατεία spam email που στόχο είχε επιχειρήσεις από ολόκληρο τον κόσμο. Με όχημα απομιμήσεις email από προμηθευτές ή αντισυμβαλλόμενες εταιρείες, οι εισβολείς επιχειρούσαν να αποσπάσουν τα δεδομένα σύνδεσης από τους οργανισμούς που δέχονταν επίθεση αξιοποιώντας το διαβόητο malware Agent Tesla. Τα δεδομένα αυτά στη συνέχεια ενδέχεται να προσφέρονται προς πώληση σε φόρουμ του darkweb ή να χρησιμοποιούνται σε στοχευμένες επιθέσεις εναντίον αυτών των οργανισμών.
Όπως αποκαλύπτει πρόσφατη έρευνα της Kaspersky, πλέον οι εγκληματίες του κυβερνοχώρου επικεντρώνονται στη μαζική αποστολή spam email. Η εκστρατεία spam email που έφερε στο φως η Kaspersky είχε στόχο διάφορους οργανισμούς, αξιοποιώντας υψηλής ποιότητας απομιμήσεις επαγγελματικών αιτημάτων από πραγματικές εταιρείες, με μοναδικό διαφοροποιητικό στοιχείο να είναι η λανθασμένη διεύθυνση αποστολέα. Για την απόσπαση των στοιχείων των θυμάτων οι επιτιθέμενοι χρησιμοποίησαν το Agent Tesla – ένα πολύ γνωστό Trojan Spy malware, σχεδιασμένο να κλέβει δεδομένα ελέγχου ταυτότητας, στιγμιότυπα οθόνης και δεδομένα που καταγράφηκαν από κάμερες web και πληκτρολόγια. Το malware διανεμήθηκε ως self-extracting αρχείο συνημμένο στο κακόβουλο email.
Σε ένα χαρακτηριστικό email, κάποιος που υποδύεται έναν υποψήφιο πελάτη από τη Μαλαισία χρησιμοποιεί ένα περίεργο Αγγλικό ιδίωμα για να ζητήσει από τον παραλήπτη να εξετάσει ορισμένα αιτήματα των πελατών και να λάβει πίσω τα έγγραφα που ζητήθηκαν. Η γενική μορφή των email αντιστοιχεί στα πρότυπα εταιρικής αλληλογραφίας: υπάρχει ένα λογότυπο που ανήκει σε μια πραγματική εταιρεία και μια υπογραφή που περιέχει τα στοιχεία του αποστολέα. Συνολικά, δεν φαίνεται κάτι το παράδοξο στο email, ενώ τα γλωσσικά σφάλματα μπορούν εύκολα να αποδοθούν στο γεγονός ότι δεν είναι η μητρική γλώσσα του αποστολέα.
Το μόνο ύποπτο πράγμα σχετικά με το email είναι ότι η διεύθυνση του αποστολέα, newsletter@trade***.com, χαρακτηρίζεται ως “newsletter”, που χρησιμοποιείται συνήθως για ενημερωτικά δελτία και όχι για προμήθειες. Επιπλέον, το domain name του αποστολέα είναι διαφορετικό από το όνομα της εταιρείας στο λογότυπο.
Σε ένα άλλο email, ένας υποτιθέμενος πελάτης από τη Βουλγαρία πραγματοποιεί έρευνα σχετικά με τη διαθεσιμότητα ορισμένων προϊόντων και προσφέρεται να συζητήσει τις λεπτομέρειες μιας συμφωνίας. Η λίστα προϊόντων που ζητήθηκε λέγεται ότι βρίσκεται στο συνημμένο, όπως και στο προηγούμενο δείγμα. Η διεύθυνση του αποστολέα, εξίσου ύποπτη, ανήκει σε ελληνικό, όχι βουλγαρικό, domain, το οποίο προφανώς δεν έχει καμία σχέση με την εταιρεία της οποίας το όνομα χρησιμοποιείται από τους spammers.
Τα μηνύματα προέρχονται από ένα περιορισμένο εύρος διευθύνσεων IP και τα συνημμένα αρχεία περιείχαν το ίδιο κακόβουλο λογισμικό, το Agent Tesla – που κάνει τους ερευνητές να πιστεύουν ότι όλα αυτά τα μηνύματα ήταν μέρος μιας στοχευμένης εκστρατείας.
Το Agent Tesla στοχεύει χρήστες σε όλον τον κόσμο. Σύμφωνα με υλικό που συγκέντρωσε η Kaspersky, η δραστηριότητα του κακόβουλου λογισμικού από τον Μάιο έως τον Αύγουστο του 2022 ήταν μεγαλύτερη στην Ευρώπη, την Ασία και τη Λατινική Αμερική. Ο μεγαλύτερος αριθμός θυμάτων (20.941) καταγράφηκε στο Μεξικό. Ακολούθησε η Ισπανία, με 18.090 συσκευές χρηστών να δέχονται προσπάθειες μόλυνσης, και η Γερμανία, όπου επηρεάστηκαν 14.880 χρήστες. Από τον Μάιο έως τον Αύγουστο του 2022, 5.050 χρήστες στην Ελλάδα επηρεάστηκαν από το Agent Tesla.
«Το Agent Tesla αποτελεί μια εξαιρετικά δημοφιλή μέθοδο απόσπασης κωδικών πρόσβασης και άλλων διαπιστευτηρίων από τους οργανισμούς που δέχονται επίθεση. Είναι γνωστό από το 2014 και χρησιμοποιείται ευρέως από spammers σε μαζικές επιθέσεις. Ωστόσο, σε αυτήν την εκστρατεία οι εγκληματίες του κυβερνοχώρου χρησιμοποίησαν τεχνικές που είναι χαρακτηριστικές για στοχευμένες επιθέσεις – τα αποσταλμένα email ήταν προσαρμοσμένα ειδικά για την εταιρεία ενδιαφέροντος και ελάχιστα διαφέρουν από τα νόμιμα», προσθέτει ο Roman Dedenok, ειδικός σε θέματα ασφάλειας της Kaspersky.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.