A Kaspersky descobriu uma campanha invulgar que tem estado a decorrer, via email, direcionada a negócios de todo o mundo que recorre ao Agent Tesla para obter diversos dados confidenciais das companhias afetadas.
O intúito é utilizar o Agent Tesla para roubar diversas informações e credenciais que, posteriormente, podem ser vendidas em fóruns da Dark Web ou serem utilizadas para ataques direcionados contra as organizações em questão.
Agent Tesla destribuído como arquivo anexado aos emails
Os ataques informáticos estão a aumentar a cada dia que passa. São diversas as empresas que têm sofrido ataques direcionados, como por exemplo, o recente ataque à TAP, à Revolut ou mesmo à Uber que, apesar de terem sido ciberataques diferentes, todos recorreram a métodos semelhantes.
Mais recentemente a Kaspersky reparou na utilização de um outro tipo de ataque, uma campanha de spam em massa, destinada a várias organizações, que continham imitações de alta qualidade de inquéritos comerciais de empresas reais.
Como carga útil, os atacantes usaram o Agent Tesla stealer – um já conhecido trojan spy malware desenvolvido para roubar dados de autenticação, capturas de ecrã, dados capturados de câmaras web e teclados. O Agent Tesla tem estado a ser distribuído como um arquivo auto-extraível anexado ao email.
A Kaspersky partilhou um exemplo de email fazendo-se passar por um prospect malaio que utiliza uma estranha variação do inglês para pedir ao destinatário que reveja alguns requisitos do cliente e volte com os documentos solicitados.
Em primeira instância, o email parece legítimo e cumpre os requisitos minimos para parecer real. Tem o logo de uma empresa real e a assinatura com os detalhes do remetente. Onde começa a parecer mais estranho é no endereço do remetente, no caso newsletter@trade***.com, que não corresponde ao conteúdo do email nem à empresa em questão.
Num outro e-mail, um suposto cliente búlgaro faz um inquérito sobre a disponibilidade de alguns produtos e oferece-se para discutir os detalhes de um negócio. Diz-se que a lista de produtos solicitada consta do anexo, tal como na amostra anterior. O endereço do remetente, igualmente suspeito, pertence a um domínio grego, não búlgaro, que aparentemente não tem qualquer relação com a empresa cujo nome é utilizado pelos spammers.
O Agent Tesla tem como alvos utilizadores em todo o mundo. De acordo com as observações da Kaspersky, a atividade do malware desde maio até agosto de 2022 foi a mais elevada da Europa, Ásia e América Latina. O maior número de vítimas (20.941) foi registado no México.
Seguiu-se Espanha, com 18.090 dispositivos de utilizadores a registar tentativas de infeção, e a Alemanha, onde 14.880 utilizadores foram afetados.
“O Agent Tesla é um stealer muito popular utilizado para ir à procura de senhas e outras credenciais a organizações afetadas. É conhecido desde 2014, e é muito utilizado por spammers em ataques em massa. No entanto, nesta campanha, os cibercriminosos assumiram técnicas típicas de ataques direcionados – os e-mails enviados foram adaptados especialmente para a empresa de interesse e são pouco diferentes dos legítimos”
Roman Dedenok, especialista em segurança da Kaspersky.
Para se proteger de campanhas de e-mail spam, a Kaspersky recomenda o seguinte:
- Proporcione ao seu staff formação básica em higiene de ciber-segurança. Conduzir um ataque de phishing simulado para assegurar que saibam distinguir os e-mails de phishing.
- Utilizar uma solução de proteção para endpoints e servidores de email com capacidades anti-phishing, como o Kaspersky Endpoint Security for Business, para diminuir a hipótese de infeção através de um email de phishing.
- Se utilizar o Microsoft 365 cloud service, não se esqueça de o proteger também. Kaspersky Security for Microsoft Office 365 tem um anti-spam e anti-phishing dedicado, bem como protecção para SharePoint, Equipas e aplicações OneDrive para comunicações comerciais seguras.
