Os cibercriminosos estão enviando para empresas imitações de alta qualidade de mensagens de negócios com um trojan espião anexado.

Estamos testemunhando uma nova campanha maliciosa de envio de e-mails em massa destinada a funcionários da empresa usando anexos de spyware do Agente Tesla. Desta vez, na criação de suas mensagens de e-mail, os responsáveis pelo ataque prestam atenção especial aos detalhes — então o conteúdo pode realmente ser confundido com e-mails comerciais verdadeiros com documentos anexados. Seu objetivo final é enganar o destinatário para abrir o arquivo anexado para, em seguida, executar o arquivo malicioso.

Por que esse correio malicioso é especial?

Para começar, os cibercriminosos usam empresas reais como fachada: fornecem seus e-mails com logotipos reais e assinaturas legítimas. O inglês está longe de ser perfeito, então eles fingem ser residentes de países que não tem como idioma principal o inglês (Bulgária ou Malásia, por exemplo), de modo a levantar menos suspeitas.

Os cibercriminosos enviam seu arquivo malicioso em nome de muitas empresas, alterando o texto de acordo. Às vezes, eles pedem aos colaboradores das empresas cotações comerciais de certos produtos ou serviços listados no arquivo anexo, enquanto outras vezes eles perguntam se um produto da lista está em estoque.  E possivelmente, ainda não vimos todas as versões do texto que usam para atrair suas vítimas. A ideia é convencer o entrevistado a verificar em que tipo de bens esse pseudo-cliente está interessado. Os cibercriminosos têm se esforçado muito na fase de preparação, o que não é típico para tais campanhas de e-mail em massa. Anteriormente, vimos tais técnicas usadas apenas em ataques direcionados.

Do ponto de vista do destinatário, o único alerta vermelho que pode ser detectado é o endereço do remetente.  Seu nome de domínio raramente corresponde à empresa, enquanto o nome do remetente difere do nome na assinatura, o que não é típico para endereços comerciais legítimos. No exemplo acima, o e-mail é enviado do endereço “newsletter@”, o que pode ser ok para informativos de marketing, mas não é comumente utilizado em mensagens com solicitações de orçamento comerciais.

O que é um Trojan Agent Tesla?

O Agent Tesla, identificado por nossas soluções como Trojan-PSW.MSIL.Agensla, é um malware bastante antigo, que rouba informações confidenciais e as envia aos operadores de ataque. Em primeiro lugar, ele caça credenciais que são armazenadas em diferentes programas: navegadores, clientes de e-mail, clientes FTP/SCP, bancos de dados, ferramentas de administração remota, aplicativos VPN e vários aplicativos de mensagens instantâneas. No entanto, o Agent Tesla também é capaz de roubar dados da área de transferência, gravar teclas e tirar capturas de tela.

O Agent Tesla envia todas as informações coletadas para os cibercriminosos por e-mail. No entanto, algumas modificações do malware são capazes também de transferir dados via Telegram, ou enviá-los para um site ou servidor FTP.

Você pode encontrar informações adicionais sobre este malware e campanha, juntamente com indicadores de comprometimento, no  post do blog Securelist.

Como se manter protegido

Idealmente, as ciberameaças devem ser interrompidas em um estágio inicial — quando uma mensagem maliciosa chega a um servidor de e-mail corporativo.  Embora nem sempre a olho nu possa detectar uma ameaça à primeira vista, os scanners de e-mail geralmente são eficientes em realizarem essa tarefa. Portanto, é uma boa ideia proteger o servidor de e-mail corporativo com uma solução de segurança apropriada.

No entanto, você também deve pensar em elevar o nível de conscientização sobre cibersegurança entre seus colaboradores; por exemplo, usando plataformas de aprendizagem online.

Para garantir que o malware enviado pelos invasores não seja executado não importa o que aconteça, você também pode considerar equipar os computadores de seus funcionários com uma relevante proteção.

Fonte: kaspersky