Známy spyware Agent Tesla hlási veľký návrat: Na túto falošnú prílohu si daj dobrý pozor!
Po mesačnej odmlke sa v našom online priestore opäť objavil spyware Agent Tesla, ktorý sa šíri tradičným spôsobom, cez falošné PDF prílohy.
Agent Tesla je malvér, ktorý je v našich končinách dobre známy. Tento spyware opakovane zasahuje územie Česka a Slovenska a ako informuje portál ESET, minulý mesiac malvér ohlásil svoj veľký návrat. Počas júna totiž predstavoval až tretinu všetkých odhalených prípadov.
Bezpečnostní experti sú novou vlnou útoku prekvapení, pretože ešte v máji vykazoval malvér výrazný útlm. Namiesto malvéru Agent Tesla sa po dlhej dobe na prvom mieste najčastejších hrozieb objavil malvér Agent.RWl. Útlm ale netrval dlho a Agent Tesla opäť vyčíňa v našom kyberpriestore.
Malvér sa drží svojho typického modus operandi, teda šíri sa cez podvodné e-maily, presnejšie ako falošná príloha. Tentokrát útočníci používajú falošnú prílohu, ktorá sa javí ako objednávka od fiktívnej firmy. Bezpečnostní analytici si všímajú, že tentokrát útočníci preložili aj kontaktné údaje firmy, v ktorej mene posielajú obetiam falošné maily.
Medzi kontaktnými údajmi sa nachádzalo aj telefónne číslo s lokálnou predvoľbou pre Česko a Slovensko. Doména webových stránok je taktiež lokálna, no reálne žiadne kontaktné údaje neexistujú. Zdá sa, že útočníci používajú jeden spoločný vzor správy, ktorý následne prekladajú do iných jazykov a upravujú ďalšie menšie údaje.
Pozor na túto falošnú prílohu
Počas júna falošné e-maily so spywarom Agent Tesla obsahovali prílohu “Objednávka IMG_PO #00702441355 – č. 2400228341_pdf.exe”. Falošná správa pochádzala od nemeckej firmy IWK Verpackungstechnik s.r.o. Táto firma mala záujem o nákup tovaru. Z toho vyplýva, že nová kampaň Agent Tesla cieli hlavne na zamestnancov českých a slovenských firiem.
Neprehliadni
Bezpečnostní experti upozorňujú, že falošná príloha sa síce javí ako PDF súbor, no v skutočnosti ide o spustiteľný súbor typu EXE. Súbor so spywarom sa najčastejšie vydáva za faktúry alebo objednávky a s najväčšou pravdepodobnosťou sú primárnym cieľom útočníkov zamestnanci, ktorí pracujú s veľkým množstvom podobných mailov. Podvodnú správu a prílohu si tak nemusia na prvý pohľad všimnúť.
Ak sa pozrieš na vyššie uvedený prípad, falošná príloha má dve koncovky, pričom tá posledná “exe” napovedá, že ide o spustiteľný súbor, nie o súbor PDF. Túto druhú koncovku ale nemusíš hneď vidieť. Ako sme už spomenuli, dôkazy naznačujú, že primárnym cieľom sú ľudia, ktorí pracujú s väčším množstvom mailov. Obeťou útoku sa ale podľa ESETu môže stať každý.
Malvér ide po citlivých dátach
Po kliknutí na falošnú prílohu sa do zariadenia inštaluje spyware Agent Tesla, ktorý sa zameriava na kradnutie osobných údajov, primárne prihlasovacích údajov.
“Väčšina ľudí si veľmi často myslí, že na nich kyberútočník necieli. Veria, že sa útočníci zameriavajú hlavne na ciele, od ktorých môžu získať veľké množstvo peňazí. Dôležité je ale uvedomiť si, že dáta sú dnes rovnako dôležité ako peniaze. Útočník nehľadá konkrétne obete, no pomocou automatizovaných procesov dokáže zaútočiť na obrovské množstvo obetí naraz,” vysvetľuje Martin Jirkal z ESETu.
Keď sa útočníkovi podarí získať tvoje dáta, môže sa rozhodnúť, ako ich zneužije ďalej, pričom má niekoľko možností. Najčastejšie môže dáta využiť na prípravu ďalších útokov, alebo ich predá na dark webe.
Bezpečnostní experti vysvetľujú, že najlepšou ochranou pred spywarom ako Agent Tesla je antivírový softvér, ktorému dôveruješ. Ak by sa aj v budúcnosti náhodou stalo, že z nepozornosti klikneš na falošnú prílohu, môžeš mať istotu, že bezpečnostný program škodlivý kód zachytí a tvoje osobné údaje ostanú v bezpečí. Najohrozenejšími sú heslá, ktoré máme uložené v internetových prehliadačoch. Tie nie sú chránené pred spywarom ani ďalšími infostealermi.
Komentáre