As ferramentas de acesso remoto, ou RAT, para abreviar, continuam a ser uma grande ameaça. Malwarebytes recentemente desmascarou um grupo de golpistas nigerianos em torno do Agente Tesla. Felizmente, não havia profissionais em tempo integral trabalhando com o grupo: eles enviaram e-mails de teste e, assim, revelaram seu endereço IP.
O ladrão de dados "Agent Tesla" é uma ferramenta de acesso remoto (RAT) que está ativa desde 2014 e agora é um dos arquivos maliciosos mais populares que podem ser observados em campanhas de spam por e-mail. Em sua busca por ameaças direcionadas à Ucrânia, o Malwarebytes identificou um novo grupo que está fortemente envolvido em phishing e outras formas de roubo de dados há vários anos. A ironia por trás disso: um dos principais agentes de ameaças também infectou seu próprio computador com um binário do Agente Tesla.
Quase 1 milhão de credenciais de login roubadas
As atividades do golpista começaram há alguns anos com a clássica fraude de pagamento antecipado (fraude 419). Enquanto isso, o golpista está executando com sucesso as campanhas do Agente Tesla. Nos últimos dois anos, ele conseguiu roubar quase um milhão de credenciais de login de suas vítimas dessa maneira.
Uma campanha de e-mail com o agente Tesla usando um e-mail ucraniano levou a Malwarebytes a rastrear os golpistas. A investigação do Malwarebytes Threat Intelligence Team começou com um e-mail intitulado Остаточний платіж.msg em ucraniano, que se traduz como Final Payment.msg. O e-mail continha um link para um site de compartilhamento de arquivos que baixou um arquivo contendo um executável, levando a equipe de inteligência de ameaças ao rastro do golpista.
O executável é, na verdade, um agente malicioso Tesla Stealer. Isso é capaz de exfiltrar dados de várias maneiras. A técnica por trás disso é bastante simples: requer apenas uma conta de e-mail que envie mensagens para si mesma com as credenciais roubadas de cada vítima.
As mensagens de teste revelam o endereço IP do invasor
O invasor enviou uma série de mensagens "Teste bem-sucedido!" da mesma conta. Sabe-se que os invasores geralmente usam essas mensagens para verificar se a comunicação com o Agente Tesla está configurada corretamente. No entanto, os e-mails deveriam ter sido excluídos posteriormente por motivos óbvios. No entanto, o agente da ameaça não o fez neste caso. Ao fazer isso, ele revelou seu próprio endereço IP e o Malwarebytes conseguiu localizar o endereço em Lagos, na Nigéria. Malwarebytes, portanto, deu ao grupo de golpistas descoberto o nome de “Nigerian Tesla”.
Outros 26 e-mails foram enviados do mesmo endereço IP, que não eram e-mails de teste, mas de uma execução real do Agente Tesla. O invasor também conseguiu infectar seu próprio computador.
O invasor opera com diferentes nomes e contas de e-mail
Por exemplo, em suas operações anteriores de phishing e roubo de dados, o invasor usou os nomes Rita Bent, Lee Chen e John Cooper junto com mais de 25 contas de e-mail diferentes e senhas contendo a string "1985". Pela multiplicidade de perfis, percebe-se que o ator de ameaças teve uma extensa carreira que começou pelo menos em 2014. Naquela época, ele estava executando golpes clássicos sob o nome de Rita Bent.
Outro golpe favorecido pelo grupo foi o phishing sob o disfarce de páginas de login da Adobe. Os pesquisadores de segurança da Malwarebytes têm registros de várias páginas de destino falsas da Adobe implantadas de 2015 até recentemente.
Quem está por trás dos ataques de dados?
Por trás do endereço IP localizado na Nigéria está um homem chamado EK. Na verdade, esse ator de ameaça ainda compartilhou fotos de si mesmo em 2016. Uma foto de sua carteira de motorista também foi rastreada. Isso mostra que ele nasceu em 1985. É assim que a imagem finalmente se encaixa: o ano de nascimento 1985 foi usado em muitas senhas das contas de e-mail a partir das quais as atividades ilegais foram realizadas.
Atualmente, há poucas informações sobre os outros membros do grupo golpista. No entanto, EK parece ter o papel mais importante e, pelo menos, ser aquele que originalmente deu vida à Tesla nigeriana.
A nigeriana Tesla roubou um total de mais de 800.000 credenciais diferentes de cerca de 28.000 vítimas. Isso mostra como esses tipos de campanha podem ser simples, mas eficazes. O caso de EK também mostra uma evolução interessante de um ator de ameaça que executou o clássico golpe de taxa antecipada (golpe 419) antes de finalmente entrar no mundo da distribuição de malware. Os usuários do Malwarebytes estão protegidos do Agente Tesla. O invasor é detectado como Spyware.Password.Stealer.
Mais em Malwarebytes.com
Sobre o Malwarebytes O Malwarebytes protege usuários domésticos e empresas contra ameaças perigosas, ransomware e explorações que os programas antivírus não detectam. O Malwarebytes substitui completamente outras soluções antivírus para evitar ameaças modernas de segurança cibernética para usuários particulares e empresas. Mais de 60.000 empresas e milhões de usuários confiam nas soluções inovadoras de aprendizado de máquina da Malwarebyte e em seus pesquisadores de segurança para evitar ameaças emergentes e eliminar malwares que as soluções de segurança antiquadas deixam escapar. Visite www.malwarebytes.com para obter mais informações.