Wiadomość z prośbą o ofertę. W załączniku AgentTesla

AgentTesla trafia do kolejnych komputerów za sprawą trwającej kampanii phishingowej. W skrzynce e-mail można trafić na "zapytanie ofertowe", a w załączniku archiwum RAR, które zawiera zainfekowany plik. Całość to po prostu atak socjotechniczny, który w pewnych okolicznościach jest skuteczny.

O zagrożeniu ostrzega CERT Orange Polska. Wiadomość to krótki e-mail wysłany rzekomo przez pana Błażeja z firmy Colliers, w którego temacie znajduje się sugestia, że chodzi o zapytanie ofertowe. Jego treść ma się znajdować w załączniku. To archiwum RAR, w którym rozsyłany jest skrypt VBS prowadzący do uruchomienia PowerShella. Ten łączy się z chmurą i z Dysku Google pobiera zainfekowane oprogramowanie.

W ten sposób na komputer ofiary trafia AgentTesla. To trojan zdalnego dostępu, który często dystrybuowany jest właśnie za pośrednictwem kampanii phishingowych. Oprogramowanie jest w stanie wykradać dane z komputera i samodzielnie instalować dodatkowe moduły. Wszystkie pozyskane informacje trafiają oczywiście na bieżąco na serwery atakujących. Zależnie od intencji przestępców, mogą zostać na różne sposoby wykorzystane, by uprzykrzyć życie ofierze.

Aby nie dać się nabrać na podobne ataki, najlepiej z dużym dystansem podchodzić do wszelkich e-maili tego rodzaju. O ile indywidualny odbiorca podobnej wiadomości najpewniej szybko zorientuje się, że "coś tu jest nie tak", zadanie jest dodatkowo utrudnione w organizacjach, gdzie spodziewane jest otrzymywanie podobnych zapytań ofertowych na skrzynkę e-mail.

Dalsza część artykułu pod materiałem wideo

W tym konkretnym przypadku jasną wskazówką, że mamy do czynienia z phishingiem jest sama treść wiadomości, w której pojawiają się błędy językowe. Otwieranie nieznanego załącznika, zwłaszcza spakowanego archiwum, jest natomiast złym pomysłem z założenia i takich praktyk najlepiej po prostu nie stosować.