Опасная программа для кражи паролей распространяется через спам в корпоративной почте

«Лаборатория Касперского» обнаружила вредоносную спам-кампанию. Её цели ― организации по всему миру, в том числе и в России. Атакующие пытаются украсть учётные данные с помощью программы-стилера Agent Tesla. Они распространяют зловред через письма якобы от поставщиков или контрагентов. Всего с апреля по август 2022 года решения «Лаборатории Касперского» обнаружили около 740 тысяч писем в рамках этой кампании. Украденные данные злоумышленники могут продавать на форумах в даркнете или использовать в дальнейших целевых атаках на те же организации.

Agent Tesla — троянец-шпион, который умеет красть логины и пароли из браузеров и других приложений, делать скриншоты, а также собирать данные с веб-камер и клавиатур. Зловред распространяется в виде архива в электронном письме.

Судя по данным «Лаборатории Касперского», злоумышленники всё тщательнее готовят массовые спам-атаки. Обычно такие письма довольно примитивны и не отличаются разнообразием, но в последнее время в массовых рассылках стали прослеживаться приёмы, характерные для целевых атак. В частности, атакующие рассылают письма от имени существующих компаний, копируют стиль письма и подпись отправителя. Например, в этой вредоносной кампании деловые письма подделаны очень хорошо. Единственное, что выдаёт злоумышленников, — это странные адреса отправки. Так, одна из рассылок шла с адреса newsletter@trade***.com, а содержала поддельную информацию о закупках. Слово же «newsletter» обычно используется в новостных рассылках, а не для переписки по закупкам. Кроме того, доменное имя отправителя отличалось от официального названия компании на логотипе.

В одном из писем на русском языке якобы от специалиста по логистике сообщалось, что на счёт компании был произведён платёж. Получателя просили проверить прикреплённый документ, чтобы подтвердить оплату. Адрес отправителя выглядел следующим образом: sales@gem****.bond. Название компании в адресе также не совпадало с официальным.

Пример вредоносного письма на русском языке

Объединяет эти письма не только схожий сценарий рассылки и то, что они не похожи на автоматически сгенерированные. Заголовки писем также имеют одну и ту же структуру. Кроме того, сообщения приходят с ограниченного набора IP-адресов. Это означает, что они являются частью одной большой вредоносной почтовой кампании.

«Agent Tesla — очень популярный стилер, используемый для кражи паролей и других учётных данных. Он известен с 2014 года и широко используется в массовых атаках. Однако в этой кампании злоумышленники взяли на вооружение приёмы, типичные для целевых атак. Письма создавались под конкретные компании и мало чем отличались от легитимных», ― комментирует Роман Деденок, антиспам-эксперт «Лаборатории Касперского».

Продукты «Лаборатории Касперского» детектируют стилер Agent Tesla как Trojan-PSW.MSIL.Agensla.

Узнать больше об Agent Tesla можно в полный отчёте на Securelist: https://securelist.ru/agent-tesla-malicious-spam-campaign/105932/.