Wie Kaspersky festgestellt hat, gibt es eine aktuelle Kampagne von Cyberkriminellen die die Malware Stealer Agent Tesla zur Spionage nutzen. Die Malware wird über gut formulierte Spam-Mails verbreitet. Es sind bereit knapp 15.000 Nutzer in Deutschland betroffen.
Die Experten von Kaspersky haben eine Spam-E-Mail-Kampagne auf Unternehmen weltweit entdeckt, die den berüchtigten Stealer Agent Tesla nutzt. Für die Spam-Kampagne ahmten die Cyberkriminellen E-Mails von Anbietern oder Kontrahenten detailliert nach, um an die Anmeldedaten der betroffenen Organisationen zu gelangen – lediglich die falsche Absenderadresse verriet die Cyberkriminellen. Diese Zugangsdaten werden in Darkweb-Foren zum Verkauf angeboten oder bei zielgerichteten Angriffen gegen diese Organisationen verwendet.
Deutschland Platz 3 bei attackierten Nutzern
🔎 Länderliste: Deutschland steht auf Platz 3 der am meisten angegriffenen Länder (Bild: Kaspersky).
Laut Kaspersky-Telemetrie war die Aktivität der Malware von Mai bis August 2022 in Europa, Asien und Lateinamerika am höchsten. Die meisten attackierten Nutzer stammten mit 20.941 Nutzern aus Mexiko, gefolgt von Spanien mit 18.090 und Deutschland mit 14.880.
Cyberkriminelle investieren heutzutage viele Ressourcen in Massen-Spam-Kampagnen. Die von Kaspersky entdeckte Spam-E-Mail-Kampagne, die sich an verschiedene Organisationen weltweit richtete, ahmte auf hohem Niveau Geschäftsanfragen echter Unternehmen nach, die sich nur durch falsche Absenderadressen identifizieren lassen konnten. Über diese Spam-Mails verbreiteten die Angreifer den Stealer Agent Tesla. Dabei handelt es sich um eine bekannte Trojaner-Spionage-Malware, die Authentifizierungsdaten, Screenshots und Daten stehlen kann, die von Webkameras und Tastaturen erfasst werden. Die Malware war als selbstextrahierendes Archiv über die Spam-Mails verteilt.
Nur die Absender-Adresse verrät die Cyberkriminellen
In einem entdeckten Fall nutzte ein Angreifer, der sich als malaysischer Interessent ausgab, eine seltsame Variante des Englischen, um den Empfänger zu bitten, einige Kundenanforderungen zu überprüfen und sich mit den angeforderten Dokumenten zu melden.
🔎 Kaspersky entdeckte von März bis August bereits fast 750.000 Angriffe (Bild: Kaspersky).
Das allgemeine Format entsprach den Standards der Firmenkorrespondenz: ein Logo, das zu einem echten Unternehmen gehört und eine Signatur mit Absenderangaben. Insgesamt sah die Anfrage legitim aus, während die sprachlichen Fehler leicht dem Absender zugeschrieben werden konnten, der kein Muttersprachler ist. Lediglich die Absenderadresse newsletter@trade***.com, die als „Newsletter“ gekennzeichnet war und normalerweise für Nachrichten und nicht für die Beschaffung verwendet wird, war ein Indiz, dass es sich um keine legitime Mail handelte. Des Weiteren unterschied sich der Domainname des Absenders vom Firmennamen im Logo.
Klassischer Spam mit Anhang
In einer weiteren E-Mail wollte sich ein angeblicher bulgarischer Kunde über die Verfügbarkeit einiger Produkte informieren und weitere Details besprechen. Die gewünschte Produktliste sollte sich wie im vorigen Muster im Anhang befinden. Die ähnlich verdächtige Absenderadresse gehörte zu einer griechischen, nicht bulgarischen Domain, die offenbar nichts mit dem Unternehmen zu tun hatte und deren Name von den Spammern missbräuchlich verwendet wurde.
„Bei Agent Tesla handelt es sich um einen sehr beliebten Stealer, der Passwörter und andere Anmeldeinformationen von betroffenen Organisationen stehlen kann“, erklärt Roman Dedenok, Sicherheitsexperte bei Kaspersky. „Die Malware ist seit dem Jahr 2014 bekannt und wird von Spammern gerne für Massenangriffe eingesetzt. Bei der aktuellen Kampagne allerdings setzen die Cyberkriminellen jedoch auf Techniken, die für zielgerichtete Angriffe typisch sind. So wurden die versendeten E-Mails speziell auf das anvisierte Unternehmen zugeschnitten – sie sind kaum von legitimen E-Mails zu unterscheiden.“ Die Produkte von Kaspersky erkennen den Stealer Agent Tesla unter dem Namen „Trojan-PSW.MSIL.Agensla“.
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/