Zaloguj się do usług
bezpieczeństwa
13 września 2022
Wpłata z kantor.pl? Nie, to (znowu) AgentTesla

Choć AgentTesla to malware funkcjonujący z drobnymi przerwami od 2014 roku (!), w sieci Orange Polska trafia się nam ze sporą regularnością. Kolejny przykład to mail, podszywający się pod serwis kantor.pl.

Wiadomość – do czego przyzwyczaili nas już oszuści, wykorzystujący AgentTesla – nie wygląda podejrzanie:

w załączniku znajdziemy plik 5a0b6_Zaplata.jpg.img (MD5: 5a0b63e5f6d67d752fe11ae133ad3047). Ten – po kliknięciu – zainstaluje na komputerze ofiary wspominanego trojana AgentTesla. To wielofunkcyjny trojan zdalnego dostępu (Remote Access Trojan, RAT). Zgodnie z nazwą, umożliwia przestępcy przejęcie pełnej kontroli nad komputerem ofiary, m.in. doinstalowanie dowolnego dodatkowego złośliwego modułu.

Testowana przez nas próbka wykorzystuje do eksfiltracji protokół SMTP (zdarzają się też instancje tego malware'u korzystające z Telegrama i FTP). Pozostałe wyciągnięte z próbki elementy konfiguracji to:

Host: mail.bohotels.hu
Port: 587
Użytkownik: director@bo18hotel.hu
Hasło: v4Jdahdirect


Dowiedziałeś się o zagrożeniu?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl