Программа для кражи паролей – в корпоративной почте
Компания «Лаборатория Касперского» сообщила о вредоносной спам-кампании, нацеленной на организации по всему миру, в том числе и в России. Атакующие пытаются украсть учетные данные с помощью программы-стилера Agent Tesla. ПО распространяется через письма якобы от поставщиков или контрагентов. В рамках этой кампании с апреля по август 2022 г. решения «Лаборатории Касперского» обнаружили около 740 тысяч писем. Украденные данные злоумышленники могут продавать на форумах в даркнете или использовать в дальнейших целевых атаках на те же организации.
Agent Tesla – троянец-шпион, который способен красть логины и пароли из браузеров и других приложений, делать скриншоты, а также собирать данные с веб-камер и клавиатур. Вредоносное ПО распространяется в виде архива в электронном письме.
Как отмечают в «Лаборатории Касперского», в последнее время в массовых рассылках стали прослеживаться приемы, характерные для целевых атак. В частности, атакующие рассылают письма от имени существующих компаний, копируют стиль письма и подпись отправителя. Например, в этой кампании деловые письма подделаны очень хорошо, единственное, что их выдает – странные адреса отправки. Так, одна из рассылок шла с адреса newsletter@trade***.com и содержала поддельную информацию о закупках, при том что слово newsletter обычно используется в новостных рассылках, а не для переписки по закупкам. Кроме того, доменное имя отправителя отличалось от официального названия компании на логотипе.
Вредоносные письма объединяет не только сходный сценарий рассылки и то, что они не похожи на автоматически сгенерированные, но и одинаковая структура заголовков писем. Кроме того, сообщения приходят с ограниченного набора IP-адресов, а значит, они являются частью одной большой вредоносной почтовой кампании.
Agent Tesla – популярный стилер, используемый для кражи паролей и других учетных данных, поясняют в «Лаборатории Касперского». Он известен с 2014 г. и широко используется в массовых атаках, однако в этой кампании злоумышленники взяли на вооружение приемы, типичные для целевых атак.
Продукты «Лаборатории Касперского» детектируют стилер Agent Tesla как Trojan-PSW.MSIL.Agensla.