Deutschland betroffen: Spionage mit Stealer Agent Tesla

Kaspersky_news

Beitrag teilen

Wie Kaspersky festgestellt hat, gibt es eine aktuelle Kampagne von Cyberkriminellen die die Malware Stealer Agent Tesla zur Spionage nutzen. Die Malware wird über gut formulierte Spam-Mails verbreitet. Es sind bereit knapp 15.000 Nutzer in Deutschland betroffen.

Die Experten von Kaspersky haben eine Spam-E-Mail-Kampagne auf Unternehmen weltweit entdeckt, die den berüchtigten Stealer Agent Tesla nutzt. Für die Spam-Kampagne ahmten die Cyberkriminellen E-Mails von Anbietern oder Kontrahenten detailliert nach, um an die Anmeldedaten der betroffenen Organisationen zu gelangen – lediglich die falsche Absenderadresse verriet die Cyberkriminellen. Diese Zugangsdaten werden in Darkweb-Foren zum Verkauf angeboten oder bei zielgerichteten Angriffen gegen diese Organisationen verwendet.

Deutschland Platz 3 bei attackierten Nutzern

🔎 Länderliste: Deutschland steht auf Platz 3 der am meisten angegriffenen Länder (Bild: Kaspersky).

Laut Kaspersky-Telemetrie war die Aktivität der Malware von Mai bis August 2022 in Europa, Asien und Lateinamerika am höchsten. Die meisten attackierten Nutzer stammten mit 20.941 Nutzern aus Mexiko, gefolgt von Spanien mit 18.090 und Deutschland mit 14.880.

Cyberkriminelle investieren heutzutage viele Ressourcen in Massen-Spam-Kampagnen. Die von Kaspersky entdeckte Spam-E-Mail-Kampagne, die sich an verschiedene Organisationen weltweit richtete, ahmte auf hohem Niveau Geschäftsanfragen echter Unternehmen nach, die sich nur durch falsche Absenderadressen identifizieren lassen konnten. Über diese Spam-Mails verbreiteten die Angreifer den Stealer Agent Tesla. Dabei handelt es sich um eine bekannte Trojaner-Spionage-Malware, die Authentifizierungsdaten, Screenshots und Daten stehlen kann, die von Webkameras und Tastaturen erfasst werden. Die Malware war als selbstextrahierendes Archiv über die Spam-Mails verteilt.

Nur die Absender-Adresse verrät die Cyberkriminellen

In einem entdeckten Fall nutzte ein Angreifer, der sich als malaysischer Interessent ausgab, eine seltsame Variante des Englischen, um den Empfänger zu bitten, einige Kundenanforderungen zu überprüfen und sich mit den angeforderten Dokumenten zu melden.

🔎 Kaspersky entdeckte von März bis August bereits fast 750.000 Angriffe (Bild: Kaspersky).

Das allgemeine Format entsprach den Standards der Firmenkorrespondenz: ein Logo, das zu einem echten Unternehmen gehört und eine Signatur mit Absenderangaben. Insgesamt sah die Anfrage legitim aus, während die sprachlichen Fehler leicht dem Absender zugeschrieben werden konnten, der kein Muttersprachler ist. Lediglich die Absenderadresse newsletter@trade***.com, die als „Newsletter“ gekennzeichnet war und normalerweise für Nachrichten und nicht für die Beschaffung verwendet wird, war ein Indiz, dass es sich um keine legitime Mail handelte. Des Weiteren unterschied sich der Domainname des Absenders vom Firmennamen im Logo.

Klassischer Spam mit Anhang

In einer weiteren E-Mail wollte sich ein angeblicher bulgarischer Kunde über die Verfügbarkeit einiger Produkte informieren und weitere Details besprechen. Die gewünschte Produktliste sollte sich wie im vorigen Muster im Anhang befinden. Die ähnlich verdächtige Absenderadresse gehörte zu einer griechischen, nicht bulgarischen Domain, die offenbar nichts mit dem Unternehmen zu tun hatte und deren Name von den Spammern missbräuchlich verwendet wurde.

„Bei Agent Tesla handelt es sich um einen sehr beliebten Stealer, der Passwörter und andere Anmeldeinformationen von betroffenen Organisationen stehlen kann“, erklärt Roman Dedenok, Sicherheitsexperte bei Kaspersky. „Die Malware ist seit dem Jahr 2014 bekannt und wird von Spammern gerne für Massenangriffe eingesetzt. Bei der aktuellen Kampagne allerdings setzen die Cyberkriminellen jedoch auf Techniken, die für zielgerichtete Angriffe typisch sind. So wurden die versendeten E-Mails speziell auf das anvisierte Unternehmen zugeschnitten – sie sind kaum von legitimen E-Mails zu unterscheiden.“ Die Produkte von Kaspersky erkennen den Stealer Agent Tesla unter dem Namen „Trojan-PSW.MSIL.Agensla“.

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Nordkorea: Cyberspionage bedroht internationale Sicherheit

In den letzten Jahren hat Nordkorea seine Fähigkeiten in der Cyberspionage enorm ausgebaut und gezielte Hackerangriffe auf internationale Unternehmen und ➡ Weiterlesen

APT-Gruppe TA397 attackiert Rüstungsunternehmen

Security-Experten haben einen neuen Angriff der APT-Gruppe TA397  – auch unter dem Namen „Bitter“ bekannt – näher analysiert. Start war ➡ Weiterlesen

Security-Breaches bei Firewall-Geräten von Palo Alto Networks

Am 18. November 2024 gab Palo Alto Networks zwei Schwachstellen (CVE-2024-0012 und CVE-2024-9474) in Palo Alto Networks OS (PAN-OS) bekannt. ➡ Weiterlesen

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen

Bedrohungserkennung mit Sigma-Regeln

Open-Source-Projekte sind unverzichtbar für die Weiterentwicklung der Softwarelandschaft. Sie ermöglichen es einer globalen Community von Entwicklern und Cybersicherheitsexperten, Wissen auszutauschen, ➡ Weiterlesen