Przestępcy podszywają się pod DHL. W załączniku kryje się trojan AgentTesla
Cyberprzestępcy powrócili do starej kampanii phishingowej. Podszywają się pod firmę kurierską DHL Express i wysyłają e-maile ze złośliwym załącznikiem. Według serwisu AnyRun, po raz pierwszy zagrożenie zaobserwowano w październiku 2019 roku.
Od 12 kwietnia na skrzynki e-mailowe Polaków trafiają wiadomości od cyberprzestępców. W załączniku znajdziemy stare i dobrze znane złośliwe oprogramowanie. W pliku "Delivery Note - AWD 200038485852- 2349203968876.gz" (archiwum skompresowane) znajduje się trojan AgentTesla. Jego uruchomienie na komputerze może doprowadzić do poważnych kłopotów.
To już kolejny wariant tego samego oszustwa. Na szczęście, tym razem cyberprzestępcy nie postarali się zbytnio, ponieważ e-mail od razu wygląda podejrzanie. Nie posiada nawet szaty graficznej firmy DHL, a jedynie wiadomość tekstową. Z kolei nadawca wiadomości to: DHL Express , a więc adres zarejestrowano w domenie gmaila. W tym momencie mamy już pewność, że nie jest to wiadomość od DHL.
Początkowo główną funkcją AgentTesla był keylogger. Malware zapisywał wszystkie loginy i hasła użytkowników. Teraz posiada więcej rozwiniętych funkcji i umożliwia zdalny dostęp do komputera ofiary (RAT), przez co ułatwia cyberprzestępcom okradanie ofiary lub instalowanie kolejnego złośliwego oprogramowania np. w systemach firmowych.
W tym roku zaobserwowano także nowe wersje AgentTesla, które utrudniają wykrycie zagrożenia. Pobranie malware na urządzenie to wieloetapowy proces. Aplikacja pobiera fragmenty złośliwego oprogramowania z legalnych źródeł, takich jak pastebin, a następnie łączy je w jeden ładunek. W międzyczasie jest w stanie manipulować kodem Microsoft Anti-Malware Software Interface (AMSI), aby wyłączyć blokady pobierania, instalowania i uruchamiania złośliwego ładunku.