Trafił do nas kolejny atak na "opóźnioną fakturę do zapłaty". To znany od dłuższego czasu motyw, w którym przestępcy przejmują komputer pracownika Bogu ducha winnej firmy, by to z jego adresu wysłać "wezwanie o zapłatę faktury", takie jak to poniżej:
Rzekomy "dowód wpłaty za kwiecień" to Guloader. W załączniku znajduje się plik Potwierdzenie zaplaty.rar, który w kolejnym kroku ściąga binarkę spod adresu hxxps://drive[.]google.com/uc?export=download&id=1rXvkMidasZQvTAgVuZV-4o8Hys8ATCyn.
Po analizie próbki okazuje sie, że to trojan zdalnego dostępu (Remote Access Trojan, RAT) AgentTesla, łączący się z serwerem Command&Control za pośrednictwem (to już kolejny taki przypadek) komunikatora Telegram - hxxps://api[.]telegram.org/bot5331581962:AAEpb4j2NxujFPFA1SjTTtvBsAv297B77nI/sendDocument
18 maja 2022
Fałszywe informacje o wypadku w Energylandii11 maja 2022
Zaległa faktura? Nie! To AgentTesla!10 maja 2022
Niedopłata podatku? Nie - to oszustwo!Zgłoś incydent