Comme Kaspersky l'a noté, il y a une récente campagne menée par des cybercriminels utilisant le voleur de logiciels malveillants Agent Tesla à des fins d'espionnage. Le malware est distribué via des spams bien conçus. Près de 15.000 XNUMX utilisateurs en Allemagne sont déjà concernés.
Les experts de Kaspersky ont découvert une campagne de courrier indésirable ciblant des entreprises du monde entier utilisant le célèbre voleur Agent Tesla. Pour la campagne de spam, les cybercriminels ont imité en détail les e-mails des fournisseurs ou des sous-traitants afin d'obtenir les données de connexion des organisations concernées - les cybercriminels n'ont révélé que la mauvaise adresse d'expéditeur. Ces informations d'identification sont proposées à la vente sur les forums Darkweb ou utilisées dans des attaques ciblées contre ces organisations.
Allemagne 3ème place pour les utilisateurs attaqués
🔎 Liste des pays : l'Allemagne est le 3ème pays le plus attaqué (Image : Kaspersky).
Selon la télémétrie de Kaspersky, de mai à août 2022, l'activité des logiciels malveillants était la plus élevée en Europe, en Asie et en Amérique latine. La plupart des utilisateurs attaqués venaient du Mexique avec 20.941 18.090 utilisateurs, suivis de l'Espagne avec 14.880 XNUMX et de l'Allemagne avec XNUMX XNUMX.
Les cybercriminels investissent aujourd'hui de nombreuses ressources dans des campagnes de spam en masse. La campagne de courrier indésirable détectée par Kaspersky, ciblant diverses organisations dans le monde, imitait les demandes commerciales de véritables entreprises à un niveau élevé, qui ne pouvaient être identifiées que par de fausses adresses d'expéditeur. Les attaquants ont utilisé ces spams pour diffuser le voleur Agent Tesla. Il s'agit d'un malware d'espionnage cheval de Troie bien connu qui peut voler les identifiants d'authentification, les captures d'écran et les données capturées à partir des caméras Web et des claviers. Le logiciel malveillant a été distribué via les spams sous forme d'archive auto-extractible.
Seule l'adresse de l'expéditeur révèle les cybercriminels
Dans un cas découvert, un attaquant se faisant passer pour un prospect malaisien a utilisé une variante étrange de l'anglais pour demander au destinataire de revoir certaines exigences du client et d'entrer en contact avec les documents demandés.
🔎 Kaspersky a déjà détecté près de 750.000 XNUMX attaques de mars à août (Image : Kaspersky).
Le format général suivait les standards de la correspondance d'entreprise : un logo appartenant à une vraie entreprise et une signature avec les coordonnées de l'expéditeur. Dans l'ensemble, la demande semblait légitime, tandis que les erreurs de langue pouvaient facilement être attribuées à l'expéditeur non natif. Seule l'adresse de l'expéditeur newsletter@trade***.com, marquée comme "Newsletter" et normalement utilisée pour les actualités et non pour l'approvisionnement, indiquait qu'il ne s'agissait pas d'un courrier légitime. De plus, le nom de domaine de l'expéditeur différait du nom de l'entreprise dans le logo.
Spam classique avec pièce jointe
Dans un autre e-mail, un prétendu client bulgare voulait connaître la disponibilité de certains produits et discuter de plus de détails. La liste de produits souhaitée doit être dans la pièce jointe comme dans l'exemple précédent. L'adresse de l'expéditeur tout aussi suspecte appartenait à un domaine grec non bulgare qui semblait sans rapport avec l'entreprise et dont le nom a été utilisé à mauvais escient par les spammeurs.
"L'agent Tesla est un voleur très populaire qui peut voler les mots de passe et autres informations d'identification des organisations concernées", a déclaré Roman Dedenok, chercheur en sécurité chez Kaspersky. « Le malware est connu depuis 2014 et est souvent utilisé par les spammeurs pour des attaques de masse. Dans la campagne actuelle, cependant, les cybercriminels utilisent des techniques typiques des attaques ciblées. Les e-mails envoyés étaient adaptés spécifiquement à l'entreprise ciblée – ils peuvent difficilement être distingués des e-mails légitimes. » Les produits Kaspersky reconnaissent l'agent voleur Tesla sous le nom « Trojan-PSW.MSIL.Agensla ».
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/