Trafił do nas kolejny atak na "opóźnioną fakturę do zapłaty". To znany od dłuższego czasu motyw, w którym przestępcy przejmują komputer pracownika Bogu ducha winnej firmy, by to z jego adresu wysłać "wezwanie o zapłatę faktury", takie jak to poniżej:

Rzekomy "dowód wpłaty za kwiecień" to Guloader.  W załączniku znajduje się plik Potwierdzenie zaplaty.rar, który w kolejnym kroku ściąga binarkę spod adresu hxxps://drive[.]google.com/uc?export=download&id=1rXvkMidasZQvTAgVuZV-4o8Hys8ATCyn.

Po analizie próbki okazuje sie, że to trojan zdalnego dostępu (Remote Access Trojan, RAT) AgentTesla, łączący się z serwerem Command&Control za pośrednictwem (to już kolejny taki przypadek) komunikatora Telegram - hxxps://api[.]telegram.org/bot5331581962:AAEpb4j2NxujFPFA1SjTTtvBsAv297B77nI/sendDocument

Podziel się: