CERT Polska ostrzega przedsiębiorców. W fałszywych e‑mailach kryje się AgentTesla

CERT Polska ostrzega przed kolejną kampanią szkodliwych wiadomości e-mail. Na celowniku są tym razem przedsiębiorcy, którzy mogą się spodziewać składanych elektronicznie zamówień. Do skrzynek trafiają spreparowane e-maile z załącznikami, których próba otwarcia grozi zainfekowaniem komputera.

Załącznik to bowiem archiwum RAR, w którym ukryto plik wykonywalny. Jego próba uruchomienia poskutkuje pobraniem na komputer szkodliwego oprogramowania AgentTesla. Docelowo pozwoli ono atakującemu uzyskać dostęp do prywatnych danych ofiary i przejąć kontrolę nad jej komputerem. To może prowadzić do poważnych kłopotów, szczególnie w firmach.

Opisywane e-maile udają autentyczne, ale w tym przypadku dość łatwo domyślić się, że są podróbkami. Wiadomości napisane są łamaną polszczyzną, a lakoniczna treść jest typowa dla tego typu oszustw. Oczywiście sukces operacji oparty jest na łatwowierności odbiorcy, który po pierwsze musi świadomie pobrać załącznik, a po drugie próbować otworzyć plik wykonywalny w oczekiwaniu, że będzie nim Zamówienie – dla formalności zaznaczamy, że nie należy tego robić.

Uruchamiając plik wykonywalny z załącznika użytkownik sam naraża się na problemy. Nie ma bowiem żadnej kontroli nad tym, co czeka go później. "Czerwona lampka" powinna jednak zapalać się dużo wcześniej – trudno oczekiwać jakiegokolwiek "zamówienia" w pliku EXE.

Na nieszczęście nieobeznanych z technologią pracowników, zagrożeniem mogą być także typowe dokumenty. Oszuści nierzadko wykorzystują również mechanizm makr w programach biurowych, by pobierać na komputery ofiar szkodliwą zawartość. Więcej na ten temat można przeczytać w odrębnej publikacji.