Atualmente, os cibercriminosos estão a investir esforços em campanhas de spam em massa - e a mais recente investigação conduzida pela Kaspersky fornece uma prova clara disso mesmo. A campanha de e-mail spam descoberta, destinada a várias organizações, continha imitações de alta qualidade de inquéritos comerciais de empresas reais, apenas dadas pelos endereços inadequados do remetente. Além disso, como carga útil, os atacantes usaram o Agent Tesla stealer - um conhecido Trojan Spy malware, concebido para roubar dados de autenticação, capturas de ecrã, e dados capturados de câmaras web e teclados. O malware foi distribuído como um arquivo auto-extraível anexado ao e-mail.
Num exemplo de e-mail, fazendo-se passar por um prospect malaio utiliza uma estranha variação do inglês para pedir ao destinatário que reveja alguns requisitos do cliente e volte com os documentos solicitados. O formato geral cumpre as normas de correspondência corporativa: existe um logótipo que pertence a uma empresa real e uma assinatura que apresenta os detalhes do remetente. De um modo geral, o pedido parece legítimo, enquanto os erros linguísticos podem ser facilmente atribuídos ao remetente que não é um falante nativo.
“O e-mail do prospect malaio com um anexo malicioso”
A única coisa suspeita sobre o e-mail é o endereço do remetente, newsletter@trade***.com, é rotulado como "newsletter", tipicamente utilizado para notícias, não para aquisições. Além disso, o nome de domínio do remetente é diferente do nome da empresa no logótipo.
Num outro e-mail, um suposto cliente búlgaro faz um inquérito sobre a disponibilidade de alguns produtos e oferece-se para discutir os detalhes de um negócio. Diz-se que a lista de produtos solicitada consta do anexo, tal como na amostra anterior. O endereço do remetente, igualmente suspeito, pertence a um domínio grego, não búlgaro, que aparentemente não tem qualquer relação com a empresa cujo nome é utilizado pelos spammers.
“O e-mail do cliente búlgaro com um anexo malicioso”
As mensagens tiveram origem numa gama limitada de endereços IP e os arquivos anexados continham o mesmo malware, Agent Tesla - o que faz com que os investigadores pensem que todas estas mensagens faziam parte de uma campanha direcionada.
O Agent Tesla tem como alvos utilizadores em todo o mundo. De acordo com as observações da Kaspersky, a atividade do malware desde maio até agosto de 2022 foi a mais elevada da Europa, Ásia e América Latina. O maior número de vítimas (20.941) foi registado no México. Seguiu-se a Espanha, com 18.090 dispositivos de utilizadores a registar tentativas de infeção, e a Alemanha, onde 14.880 utilizadores foram afetados.
“O Agent Tesla é um stealer muito popular utilizado para ir à procura de senhas e outras credenciais a organizações afetadas. É conhecido desde 2014, e é muito utilizado por spammers em ataques em massa. No entanto, nesta campanha, os cibercriminosos assumiram técnicas típicas de ataques direcionados - os e-mails enviados foram adaptados especialmente para a empresa de interesse e são pouco diferentes dos legítimos", acrescenta Roman Dedenok, especialista em segurança da Kaspersky.
Os produtos Kaspersky detetam o Agent Tesla Stealer as Trojan-PSW.MSIL.Agensla.
Para aprender mais à cerca do Agent Tesla Stealer, leia o relatório completo na Securelist.