"Dzień dobry, w załączniku zamówienie (...)". Dla wielu z nas to codzienność w mailowej skrzynce, ale jeśli trafi do Was coś takiego, a nigdy zamówień nie dostawaliście - jest duże ryzyko, że macie do czynienia ze złośliwą treścią. Tak, jak w przypadku próbki, którą przestępcy byli uprzejmi wysłać bezpośrednio na nasz adres abuse. Nie ma to jak siać nim wszędzie, gdzie się da, a honeypot mailowy robi się sam...
Załącznik do maila to plik XLS, wykorzystujący starego exploita CVE-2017-11882. Pobiera on złośliwy plik z adresu
hxxp://103[.]207.38.82/o365/htaccess.exe
Sam htaccess.exe to wspominany już w tytule AgentTesla - trojan zdalnego dostępu (Remote Access Trojan, RAT), mogący doinstalować dowolne złośliwe moduły na zainfekowanym komputerze.
Warto zauważyć, że rolę serwera Command&Control spełnia bot na komunikatorze Telegram
hxxps://api[.]telegram.org/bot2020525866:AAFU5I3pRjBQ8AH6DaTFwmQULu8foR9ODWo/sendDocument
To kolejny krok w ewolucji AgentTesla, używającego do tej pory do komend i eksfiltracji raczej serwerów SMTP i FTP.
23 maja 2023
Uwaga na SMS-y "na nadpłatę w Orange!"19 maja 2023
Oszuści udają ZUS (i nie tylko)9 maja 2023
To nie jest przelew BLIK!Zgłoś incydent