Недавно Kaspersky Lab, интересное письмо. В нем якобы потенциальный клиент из Малайзии на довольно странном английском просит получателя ознакомиться с требованиями фирмы-заказчика и вернуться к нему с необходимыми документами. Общее оформление письма соответствует корпоративным стандартам переписки — присутствует логотип реально существующей компании, подпись, в которой указана информация об отправителе. В целом запрос выглядит легитимным, а языковые ошибки легко списать на тот факт, что представитель компании-клиента — не носитель английского.
Kaspersky Lab проанализировали содержимое архивов из спам-писем и выяснили, что в них содержится один из двух уникальных файлов, относящихся к одному семейству. Это распространенное вредоносное ПО Agent Tesla, написанное на .NET и известное с 2014 года. Его основная цель — получить сохраненные в браузерах и других приложениях пароли и отправить их злоумышленнику. Чаще всего зловред пересылает данные по электронной почте, но существуют и версии, отправляющие их в приватный чат в Telegram, на созданный злоумышленником сайт или FTP-сервер. В текущей рассылке распространяется одна из последних версий Agent Tesla, которая умеет извлекать данные из следующих приложений:
- Браузеры: Chrome, Edge, Firefox, Opera, 360 Browser, 7Star, Амиго, Brave, CentBrowser, Chedot, Chromium, Citrio, Cốc Cốc, Comodo Dragon, CoolNovo, Coowon, Elements Browser, Epic Privacy, Iridium Browser, Комета, Liebao Browser, Orbitum, QIP Surf, Sleipnir 6, Спутник, Torch Browser, Uran, Vivaldi, Яндекс.Браузер, QQ Browser, Cyberfox, IceDragon, Pale Moon, SeaMonkey, Waterfox, IceCat, K-Meleon.
- Почтовые клиенты: Becky!, Opera Mail, Foxmail, Thunderbird, Claws, Outlook, The Bat!, eM Client, Mailbird, IncrediMail, Postbox, Pocomail.
- FTP/SCP-клиенты: WinSCP, WS_FTP, FTPGetter, SmartFTP, FTP Navigator, Core FTP.
- Базы данных: MySQL Workbench.
- Клиенты удаленного администрирования: RealVNC, TightVNC, TigerVNC, UltraVNC, Windows RDP, cFTP.
- Vpn: NordVPN, OpenVPN.
- Мессенджеры: Psi/Psi+, Trillian.
Agent Tesla также может делать снимки экрана, перехватывать буфер обмена и записывать нажатия клавиш.
Indicators of Compromise
Domain Port Combinations
- mail.essentialapparatus.co.ke:587
- mail.keeprojects.in:587
Emails
- info@essentialapparatus.co.ke
- quality@keeprojects.in
- sales1.nuozhongsteel@gmail.com
MD5
- 64011a7871abb873c822b8b99082e8ab
- 862adb87b0b894d450f8914a353e3e9c
- 9d0364e1f625edb286b0d5541bb15357
- a1ae8b0d794af648908e0345204ea192
- b012cb8cfee0062632817d12d43f98b4
- ddc607bb993b94c543c63808bebf682a
- eee70de3ac0dc902b99ed33408e646c9