AgentTesla z dobrze podrobionym mailem „BNP Paribas”
Trafił do nas kolejny phishing z malwarem AgentTesla. To trojan zdalnego dostępu (Remote Access Trojan, RAT), mogący doinstalować dowolne złośliwe moduły na zainfekowanym komputerze. Tym razem wektorem ataku jest naprawdę dobrze przygotowany mail, podszywający się pod bank BNP Paribas.
Jest naprawdę – niestety – dobrze. Zachowany styl, poprawna polszczyzna, wiarygodny scenariusz. No i informacja o tym, by nie odpowiadać na mail, bo został automatycznie wysłany. Co w tej sytuacji robi ofiara? Przecież nie robiła żadnego przelewu, więc otwiera załącznik o nazwie WYCIAG_BANKOWY_5791_4Z39PP_000_M_0214-2022_WZE_2022-10-01_pdf.img, a w nim, bez zbędnych kombinacji, uruchamia plik o tej samej nazwie, ale rozszerzeniu .exe.
Jako serwer Command&Control wykorzystywany jest komunikator Telegram.
hxxps://api.telegram[.]org/bot5642205413:AAEVTUG9BJlGqe2WGFdx0ocZKR20YKKT3q8/