Zaloguj się do usług
bezpieczeństwa
26 kwietnia 2022
Wraca Agent Tesla, uważajcie na niezamawiane "faktury"

"Dzień dobry, w załączniku zamówienie (...)". Dla wielu z nas to codzienność w mailowej skrzynce, ale jeśli trafi do Was coś takiego, a nigdy zamówień nie dostawaliście - jest duże ryzyko, że macie do czynienia ze złośliwą treścią. Tak, jak w przypadku próbki, którą przestępcy byli uprzejmi wysłać bezpośrednio na nasz adres abuse. Nie ma to jak siać nim wszędzie, gdzie się da, a honeypot mailowy robi się sam...

Załącznik do maila to plik XLS, wykorzystujący starego exploita CVE-2017-11882. Pobiera on złośliwy plik z adresu

hxxp://103[.]207.38.82/o365/htaccess.exe

Sam htaccess.exe to wspominany już w tytule AgentTesla - trojan zdalnego dostępu (Remote Access Trojan, RAT), mogący doinstalować dowolne złośliwe moduły na zainfekowanym komputerze.

Warto zauważyć, że rolę serwera Command&Control spełnia bot na komunikatorze Telegram

hxxps://api[.]telegram.org/bot2020525866:AAFU5I3pRjBQ8AH6DaTFwmQULu8foR9ODWo/sendDocument

To kolejny krok w ewolucji AgentTesla, używającego do tej pory do komend i eksfiltracji raczej serwerów SMTP i FTP.


Dowiedziałeś się o zagrożeniu?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl