リモート アクセス ツール (略して RAT) は、引き続き主要な脅威です。 Malwarebytes は最近、エージェント テスラにまつわるナイジェリアの詐欺グループの正体を暴きました。 幸いなことに、このグループに常勤の専門家はいませんでした。彼らはテスト メールを送信し、IP アドレスを明らかにしました。
データ泥棒「エージェント テスラ」は、2014 年から活動を続けているリモート アクセス ツール (RAT) であり、現在、電子メール スパム キャンペーンで観察できる最も一般的な悪意のあるファイルの XNUMX つです。 Malwarebytes は、ウクライナを標的とする脅威を調査する中で、数年間にわたってフィッシングやその他の形態のデータ盗難に深く関与している新しいグループを特定しました。 皮肉なことに、主な脅威アクターの XNUMX 人は、自分のコンピューターにもエージェント テスラのバイナリを感染させていました。
約 1 万件のログイン認証情報が盗まれました
この詐欺師の活動は、数年前に典型的な前払い詐欺 (419 詐欺) から始まりました。 一方、詐欺師はエージェント テスラ キャンペーンを成功裏に実行しています。 過去 XNUMX 年間で、この方法で被害者から約 XNUMX 万件のログイン資格情報を盗むことができました。
ウクライナの電子メールを使用した Agent Tesla の電子メール キャンペーンにより、Malwarebytes は詐欺師を追跡しました。 Malwarebytes Threat Intelligence Team の調査は、ウクライナ語で Остаточний платіж.msg というタイトルの電子メール (Final Payment.msg と訳される) から始まりました。 電子メールには、実行可能ファイルを含むアーカイブをダウンロードするファイル共有サイトへのリンクが含まれていたため、脅威インテリジェンス チームは詐欺師の足跡をたどりました。
実行可能ファイルは、実際には悪意のある Agent Tesla Stealer です。 これにより、さまざまな方法でデータを盗み出すことができます。 その背後にある手法は非常に単純です。必要なのは、各被害者の盗まれた資格情報を含むメッセージを自分自身に送信する電子メール アカウントだけです。
テスト メッセージで攻撃者の IP アドレスが明らかになる
攻撃者は、同じアカウントから一連の「テスト成功!」メッセージを送信しました。 一般に、攻撃者はこのようなメッセージを使用して、エージェント テスラとの通信が正しく設定されているかどうかを確認することが知られています。 ただし、明らかな理由により、電子メールは後で削除する必要がありました。 ただし、この場合、攻撃者はそうしませんでした。 そうすることで、彼は自分の IP アドレスを明らかにし、Malwarebytes はナイジェリアのラゴスでそのアドレスを突き止めることができました。 したがって、Malwarebytes は、発見された詐欺グループに「ナイジェリアのテスラ」という名前を付けました。
別の 26 通の電子メールが同じ IP アドレスから送信されました。これらはテスト電子メールではありませんが、実際のエージェント テスラの実行からのものでした。 このようにして、攻撃者は自分のコンピュータにも感染することに成功しました。
攻撃者は別の名前と電子メール アカウントで活動しています
たとえば、過去のフィッシングおよびデータ窃盗活動で、攻撃者は、文字列「25」を含む 1985 を超える異なる電子メール アカウントとパスワードと共に、Rita Bent、Lee Chen、および John Cooper という名前を使用しました。 多数のプロファイルから、攻撃者は少なくとも 2014 年に始まった広範なキャリアを持っていることがわかります。 当時、彼は Rita Bent という名前で古典的な詐欺を実行していました。
このグループが好んだもう 2015 つの詐欺は、Adobe のログイン ページを装ったフィッシングでした。 Malwarebytes のセキュリティ研究者は、XNUMX 年から最近まで、複数の偽の Adobe ランディング ページを展開した記録を持っています。
データ攻撃の背後にいるのは誰ですか?
ナイジェリアにある IP アドレスの背後には、EK という名前の男がいます. 実際、この脅威アクターは 2016 年にも自分の写真を共有していました. 彼の運転免許証の写真も追跡されました. これは、彼が1985年生まれであることを示しています。 1985 年の生年月日は、違法行為が実行された電子メール アカウントの多くのパスワードで使用されていました。
現在、詐欺グループの他のメンバーに関する情報はほとんどありません。 しかし、EK は最も重要な役割を担っているようで、少なくともナイジェリアのテスラに命を吹き込んだのは EK のようです。
ナイジェリアのテスラは、約 800.000 人の被害者から合計 28.000 を超えるさまざまな資格情報を盗みました。 これは、これらのタイプのキャンペーンがいかにシンプルでありながら効果的であるかを示しています。 EK のケースは、最終的にマルウェア配布の世界に移行する前に、古典的な前払い詐欺 (419 詐欺) を実行した攻撃者の興味深い進化も示しています。 Malwarebytes ユーザーは Agent Tesla から保護されます。 攻撃者は Spyware.Password.Stealer として検出されます。
詳しくは Malwarebytes.com をご覧ください
Malwarebytesについて Malwarebytes は、ウイルス対策プログラムが検出しない危険な脅威、ランサムウェア、エクスプロイトからホーム ユーザーと企業を保護します。 Malwarebytes は、他のウイルス対策ソリューションを完全に置き換えて、個人ユーザーや企業に対する最新のサイバーセキュリティの脅威を回避します。 60.000 を超える企業と何百万人ものユーザーが、Malwarebyte の革新的な機械学習ソリューションとそのセキュリティ研究者を信頼して、新たな脅威を回避し、時代遅れのセキュリティ ソリューションが見逃していたマルウェアを排除しています。 詳細については、www.malwarebytes.com にアクセスしてください。