Kaspersky ha scoperto un’insolita campagna spam indirizzata a varie aziende in tutto il mondo che contiene imitazioni di alta qualità di richieste commerciali da parte di aziende reali: imitando le email di fornitori o partner legittimi, i cyber criminali hanno cercato di rubare i dati di accesso delle organizzazioni colpite grazie al noto stealer Agent Tesla.

Agent Tesla è un noto malware Trojan Spy progettato per rubare dati di autenticazione, screenshot e dati catturati da telecamere e tastiere web. La campagna spam in questione, che imitava richieste commerciali da parte di aziende reali, riconoscibili solo grazie agli indirizzi non corretti dei mittenti, usava come payload lo stealer Agent Tesla che è stato distribuito come archivio ad estrazione automatica allegato all’email.

L’esempio che gli esperti hanno esplicato è quello di una persona che si finge un potenziale cliente della Malesia usa un inglese insolito per chiedere al destinatario di rivedere alcuni requisiti del cliente e fornire i documenti richiesti. Il format generale è conforme agli standard della corrispondenza aziendale: c’è un logo che appartiene a un’azienda reale e una firma che riporta i dati del mittente. Nel complesso, la richiesta sembra legittima, mentre gli errori linguistici possono essere facilmente attribuiti al mittente, che non è madrelingua. L’unico particolare che può far sospettare dell’email è l’indirizzo del mittente: newsletter@trade***.com, che è identificato come “newsletter”, tipicamente utilizzato per le notizie, non per gli acquisti. Inoltre, il nome del dominio del mittente è diverso dal nome dell’azienda nel logo.

In un altro esempio, un presunto cliente bulgaro chiede informazioni sulla disponibilità di alcuni prodotti e si offre di discutere i dettagli di un accordo. L’elenco dei prodotti richiesti sarebbe contenuto nell’allegato, come nell’esempio precedente. L’indirizzo del mittente, altrettanto sospetto, appartiene a un dominio greco, non bulgaro, che apparentemente non ha alcuna relazione con il nome della società usato dagli spammer.

I messaggi provenivano da un intervallo limitato di indirizzi IP e gli archivi allegati contenevano lo stesso malware, Agent Tesla, il che fa pensare ai ricercatori che tutti questi messaggi facessero parte di un’unica campagna mirata.

Le credenziali esfiltrate tramite questa campagna potrebbero essere messe in vendita sui forum nel darkweb o utilizzate in attacchi mirati contro queste organizzazioni, spiegano gli esperti. L’attività del malware nel periodo compreso tra maggio e agosto 2022 è stata massima in Europa, Asia e America Latina. Il maggior numero di vittime (20.941) è stato registrato in Messico. Seguono la Spagna (18.090), la Germania (14.880) e  l’Italia in cui sono stati registrati 12.480 attacchi.

“Agent Tesla è uno stealer molto popolare usato per recuperare password e altre credenziali dalle aziende colpite. È conosciuto dal 2014 e viene ampiamente usato dagli spammer negli attacchi di massa. Tuttavia, in questa campagna, i criminali informatici hanno adottato tecniche tipiche degli attacchi mirati: le email inviate sono state personalizzate appositamente per l’azienda di interesse e differiscono a malapena da quelle legittime,” ha commentato Roman Dedenok, Security Expert di Kaspersky.

 

https://www.kaspersky.it/about/press-releases/2022_kaspersky-gli-spammer-impiegano-lo-stealer-agent-tesla-in-campagne-email-mirate-12480-attacchi-registrati-in-italia

Twitter
Visit Us
LinkedIn
Share
YOUTUBE