Gli strumenti di accesso remoto, o RAT in breve, continuano a rappresentare una grave minaccia. Malwarebytes ha recentemente smascherato un gruppo di truffatori nigeriani attorno all'agente Tesla. Per fortuna non c'erano professionisti a tempo pieno che lavorassero con il gruppo: inviavano email di prova e quindi rivelavano il loro indirizzo IP.
Il ladro di dati "Agente Tesla" è uno strumento di accesso remoto (RAT) attivo dal 2014 ed è ora uno dei file dannosi più popolari che possono essere osservati nelle campagne di spam tramite e-mail. Nella sua ricerca di minacce rivolte all'Ucraina, Malwarebytes ha identificato un nuovo gruppo fortemente coinvolto nel phishing e in altre forme di furto di dati da diversi anni. L'ironia dietro questo: uno dei principali attori della minaccia aveva anche infettato il proprio computer con un binario dell'agente Tesla.
Quasi 1 milione di credenziali di accesso rubate
L'attività del truffatore è iniziata qualche anno fa con la classica frode con pagamento anticipato (frode 419). Nel frattempo, il truffatore sta conducendo con successo le campagne dell'agente Tesla. Negli ultimi due anni è riuscito in questo modo a rubare quasi un milione di credenziali di accesso alle sue vittime.
Una campagna e-mail con l'agente Tesla utilizzando un'e-mail ucraina ha portato Malwarebytes a rintracciare i truffatori. L'indagine del Malwarebytes Threat Intelligence Team è iniziata con un'email intitolata Остаточний платіж.msg in ucraino, che si traduce come Final Payment.msg. L'e-mail conteneva un collegamento a un sito di condivisione di file che scaricava un archivio contenente un eseguibile, portando il team di intelligence sulle minacce sulle tracce del truffatore.
L'eseguibile è in realtà un agente maligno Tesla Stealer. Questo è in grado di esfiltrare i dati in vari modi. La tecnica alla base è abbastanza semplice: richiede solo un account di posta elettronica che invii messaggi a se stesso con le credenziali rubate di ciascuna vittima.
I messaggi di prova rivelano l'indirizzo IP dell'aggressore
L'aggressore ha inviato una serie di messaggi "Test riuscito!" dallo stesso account. È noto che gli aggressori utilizzano generalmente tali messaggi per verificare se la comunicazione con l'agente Tesla è configurata correttamente. Tuttavia, le e-mail avrebbero dovuto essere successivamente cancellate per ovvie ragioni. Tuttavia, l'autore della minaccia non lo ha fatto in questo caso. In tal modo, ha rivelato il proprio indirizzo IP e Malwarebytes è stato in grado di individuare l'indirizzo a Lagos, in Nigeria. Malwarebytes ha quindi dato al gruppo di truffatori scoperto il nome "Nigerian Tesla".
Altre 26 e-mail sono state inviate dallo stesso indirizzo IP, che non erano e-mail di prova ma provenivano da una vera esecuzione dell'agente Tesla. L'aggressore è così riuscito a infettare anche il proprio computer.
L'attaccante opera con nomi e account di posta elettronica diversi
Ad esempio, nelle sue precedenti operazioni di phishing e furto di dati, l'aggressore ha utilizzato i nomi Rita Bent, Lee Chen e John Cooper insieme a oltre 25 diversi account e-mail e password contenenti la stringa "1985". Dalla moltitudine di profili si evince che l'attore della minaccia ha avuto una lunga carriera iniziata almeno nel 2014. Allora gestiva truffe classiche sotto il nome di Rita Bent.
Un'altra truffa favorita dal gruppo era il phishing con il pretesto delle pagine di accesso di Adobe. I ricercatori di sicurezza di Malwarebytes hanno record di più pagine di destinazione Adobe false distribuite dal 2015 fino a poco tempo fa.
Chi c'è dietro gli attacchi ai dati?
Dietro l'indirizzo IP situato in Nigeria c'è un uomo di nome EK, che nel 2016 condivideva ancora foto di se stesso. Questo dimostra che è nato nel 1985. Ecco come si adatta finalmente l'immagine: l'anno di nascita 1985 è stato utilizzato in molte password degli account di posta elettronica da cui sono state effettuate le attività illegali.
Al momento ci sono poche informazioni sugli altri membri del gruppo di truffatori. Tuttavia, EK sembra avere il ruolo più importante e almeno essere colui che originariamente ha dato vita alla Tesla nigeriana.
La Tesla nigeriana ha rubato un totale di oltre 800.000 credenziali diverse da circa 28.000 vittime. Ciò dimostra quanto possano essere semplici ma efficaci questi tipi di campagne. Il caso di EK mostra anche un'interessante evoluzione di un attore di minacce che ha eseguito la classica truffa a pagamento anticipato (truffa 419) prima di passare infine al mondo della distribuzione di malware. Gli utenti di Malwarebytes sono protetti dall'agente Tesla. L'aggressore viene rilevato come Spyware.Password.Stealer.
Altro su Malwarebytes.com
A proposito di Malwarebytes Malwarebytes protegge gli utenti domestici e le aziende da minacce pericolose, ransomware ed exploit che i programmi antivirus non rilevano. Malwarebytes sostituisce completamente altre soluzioni antivirus per scongiurare le moderne minacce alla sicurezza informatica per utenti privati e aziende. Più di 60.000 aziende e milioni di utenti si affidano alle innovative soluzioni di machine learning di Malwarebyte e ai suoi ricercatori di sicurezza per prevenire le minacce emergenti ed eliminare il malware che le soluzioni di sicurezza antiquate non riescono a cogliere. Visita www.malwarebytes.com per ulteriori informazioni.