Witaj kochanie! Czy zainstalujesz proszę złośliwe oprogramowanie?
Z jednej strony – tak zabawny mail phishingowy dawno do nas nie trafił. Z drugiej – niestety mamy świadomość, że wciąż są ludzie, którzy i tak by w coś takiego kliknęli, a tutaj w załączniku cały czas czasi się groźny AgentTesla.
![](https://cert.orange.pl/wp-content/uploads/2023/10/e52bd495896ef18ca0c8f27ff6dd8e458a236892.png)
Zastanawiające, jakim cudem dwie totalnie odmienne ścieżki połączyły się w jednym miejscu? Czyżby „ChatGPT, napisz niepodejrzany mail phishingowy”? Tyle dobrego, że może faktycznie takie rozpoczęcie maila spowoduje, że jeszcze mniej osób kliknie?
Jeśli jednak ktoś się zdecyduje, po kliknięciu w obrazek ściągnie archiwum SPECYFIKACJA ZAMA”WIENIA PDF.tgz z linku hxxps://www.mediafire[.]com/file/z15okhk3js12fr7/SPECYFIKACJA+ZAMÓWIENIA+PDF.tgz/file.
Wewnątrz archiwum znajdzie kolejne – ZAMA”WIENIA PDF.tar (domyślnie rozszerzenie jest niewidoczne):
![](https://cert.orange.pl/wp-content/uploads/2023/10/9d99513908fa5f19318e5fde7e9f3c17bb9a5048.png)
Plik wykonywalny .exe (w naszym przypadku pod nazwą smT6uSEJB15fktZ.exe to już znany (i nielubiany) RAT AgentTesla. Do kontaktu z serwerem Command&Control wykorzystuje API komunikatora Telegram – https://api[.]telegram.org/bot6158061222:AAGNygizG-Xj58HoSNR_TcFFsMLQBL_ySFM/