Agent Tesla znów w mailach Polaków

Agent Tesla to jeden z najpopularniejszych trojanów zdalnego dostępu, instalowanych na komputerach Polaków. Dość łatwo go rozpoznać. Krąży po świecie w formie załączników do maili, podszywających się pod kontynuację korespondencji biznesowej.

Do CERT Orange Polska trafiła kolejna już kampania Agent Tesla kierowana do polskich internautów. Gdy się dobrze przyjrzymy, widać niewielkie niedociągnięcia stylistyczne. Np. zwrot „oczekiwanie na twoją uprzejmą odpowiedź”, dowodzący tego, iż wysyłający maila, w którym znajduje się Agent Tesla, nie jest osobą polskojęzyczną.

Co znajdziemy w załączniku? To plik .img, po rozpakowaniu którego znajdziemy coś, co tylko udaje listę zamówień. Za czasu prehistorii internetu większość użytkowników wiedziała, że rozszerzeniu .exe oznacza plik wykonywalny. Dzisiaj zaś, dla „ułatwienia życia” bardzo często system operacyjny nie pokazuje domyślnie rozszerzeń plików…

W efekcie kliknięcie w „zamówienie” spowoduje zainstalowanie trojana zdalnego dostępu (to wspomniany Agent Tesla). Ten następnie – w zależności od woli i chęci przestępcy – może doinstalować szereg dodatkowych modułów.

W kolejnych krokach malware łączy się z serwerem ftp://ftp[.]icemp.eu, dokąd trafiają wykradzione dane.

Co robić?

Możecie mówić, że powtarzamy to do znudzenia, ale fakt, że takie kampanie pojawiają się z mniejszą lub większą regularnością, dowodzi, iż wciąż są internauci, którzy w to klikają. Tak więc:

Nie klikaj załączników, jeśli nie masz pewności co do nadawcy!

Nie zaszkodzi też poświęcić chwili na przeczytanie treści „Oczekiwanie na twoją uprzejmą odpowiedź…”, a i zerknięcie na rozszerzenie „faktury” też nie zaszkodzi.

Uważajcie na siebie. Nie dajcie się oszukać.