Wpłata z kantor.pl? Nie, to (znowu) AgentTesla
Choć AgentTesla to malware funkcjonujący z drobnymi przerwami od 2014 roku (!), w sieci Orange Polska trafia się nam ze sporą regularnością. Kolejny przykład to mail, podszywający się pod serwis kantor.pl.
Wiadomość – do czego przyzwyczaili nas już oszuści, wykorzystujący AgentTesla – nie wygląda podejrzanie:
w załączniku znajdziemy plik 5a0b6_Zaplata.jpg.img (MD5: 5a0b63e5f6d67d752fe11ae133ad3047). Ten – po kliknięciu – zainstaluje na komputerze ofiary wspominanego trojana AgentTesla. To wielofunkcyjny trojan zdalnego dostępu (Remote Access Trojan, RAT). Zgodnie z nazwą, umożliwia przestępcy przejęcie pełnej kontroli nad komputerem ofiary, m.in. doinstalowanie dowolnego dodatkowego złośliwego modułu.
Testowana przez nas próbka wykorzystuje do eksfiltracji protokół SMTP (zdarzają się też instancje tego malware’u korzystające z Telegrama i FTP). Pozostałe wyciągnięte z próbki elementy konfiguracji to:
Host: mail.bohotels.hu
Port: 587
Użytkownik: director@bo18hotel.hu
Hasło: v4Jdahdirect