Wraca Agent Tesla, uważajcie na niezamawiane „faktury”

„Dzień dobry, w załączniku zamówienie (…)”. Dla wielu z nas to codzienność w mailowej skrzynce, ale jeśli trafi do Was coś takiego, a nigdy zamówień nie dostawaliście – jest duże ryzyko, że macie do czynienia ze złośliwą treścią. Tak, jak w przypadku próbki, którą przestępcy byli uprzejmi wysłać bezpośrednio na nasz adres abuse. Nie ma to jak siać nim wszędzie, gdzie się da, a honeypot mailowy robi się sam…

Załącznik do maila to plik XLS, wykorzystujący starego exploita CVE-2017-11882. Pobiera on złośliwy plik z adresu

hxxp://103[.]207.38.82/o365/htaccess.exe

Sam htaccess.exe to wspominany już w tytule AgentTesla – trojan zdalnego dostępu (Remote Access Trojan, RAT), mogący doinstalować dowolne złośliwe moduły na zainfekowanym komputerze.

Warto zauważyć, że rolę serwera Command&Control spełnia bot na komunikatorze Telegram

hxxps://api[.]telegram.org/bot2020525866:AAFU5I3pRjBQ8AH6DaTFwmQULu8foR9ODWo/sendDocument

To kolejny krok w ewolucji AgentTesla, używającego do tej pory do komend i eksfiltracji raczej serwerów SMTP i FTP.