Інструменти віддаленого доступу, або скорочено RAT, залишаються основною загрозою. Malwarebytes нещодавно викрив нігерійську групу шахраїв навколо агента Tesla. На щастя, з групою не працювали штатні професіонали: вони надсилали тестові електронні листи й таким чином розкривали свою IP-адресу.
Викрадач даних «Агент Тесла» — це інструмент віддаленого доступу (RAT), який працює з 2014 року і зараз є одним із найпопулярніших шкідливих файлів, які можна спостерігати в спам-кампаніях електронною поштою. У пошуках загроз, націлених на Україну, Malwarebytes виявив нову групу, яка активно займається фішингом та іншими формами крадіжки даних протягом кількох років. Іронія цього полягає в тому, що один із головних учасників загрози також заразив свій власний комп’ютер двійковим файлом агента Tesla.
Викрадено майже 1 мільйон облікових даних для входу
Діяльність шахрая почалася кілька років тому з класичного шахрайства з передоплатою (шахрайство 419). Тим часом шахрай успішно проводить кампанії Agent Tesla. За останні два роки йому вдалося вкрасти таким чином майже мільйон облікових даних для входу у своїх жертв.
Електронна кампанія з агентом Tesla з використанням української електронної пошти змусила Malwarebytes вистежити шахраїв. Розслідування Malwarebytes Threat Intelligence Team почалося з електронного листа під назвою Остаточний платіж.msg українською мовою, що перекладається як Final Payment.msg. Електронний лист містив посилання на файлообмінний сайт, який завантажив архів із виконуваним файлом, що вивело групу аналізу загроз на слід шахрая.
Виконуваний файл насправді є шкідливим агентом Tesla Stealer. Це може викрадати дані різними способами. Техніка, що стоїть за цим, досить проста: для цього потрібен лише обліковий запис електронної пошти, який надсилає собі повідомлення з обліковими даними кожної жертви.
Тестові повідомлення виявляють IP-адресу зловмисника
Зловмисник відправив серію повідомлень «Тест успішно!» з того ж облікового запису. Відомо, що зловмисники зазвичай використовують такі повідомлення, щоб перевірити, чи правильно налаштований зв'язок з агентом Tesla. Проте згодом електронні листи мали бути видалені зі зрозумілих причин. Однак у цьому випадку загрозливий актор цього не зробив. Роблячи це, він відкрив свою власну IP-адресу, і Malwarebytes зміг знайти адресу в Лагосі, Нігерія. Тому Malwarebytes назвав виявлену групу шахраїв «нігерійською Tesla».
З тієї ж IP-адреси було надіслано ще 26 електронних листів, які не були тестовими, а надійшли від справжньої страти агента Тесла. Таким чином зловмиснику вдалося заразити і свій комп’ютер.
Зловмисник працює під різними іменами та обліковими записами електронної пошти
Наприклад, у своїх минулих операціях з фішингу та крадіжки даних зловмисник використовував імена Rita Bent, Lee Chen і John Cooper разом із понад 25 різними обліковими записами електронної пошти та паролями, що містять рядок «1985». З безлічі профілів видно, що загрозливий актор мав велику кар’єру, яка почалася принаймні в 2014 році. Тоді він займався класичними аферами під ім'ям Рита Бент.
Іншим шахрайством, яке віддавало перевагу групі, був фішинг під виглядом сторінок входу Adobe. Дослідники безпеки Malwarebytes мають записи про численні підроблені цільові сторінки Adobe, розгорнуті з 2015 року до останнього часу.
Хто стоїть за атаками на дані?
За IP-адресою, розташованою в Нігерії, стоїть людина на ім’я EK.Насправді, цей загрозливий актор все ще ділився своїми фотографіями в 2016 році.Фотографію його водійських прав також було відстежено. Це свідчить про те, що він 1985 року народження. Ось як нарешті складається картина: 1985 рік народження використовувався в багатьох паролях облікових записів електронної пошти, з яких здійснювалася незаконна діяльність.
Про інших учасників групи шахраїв наразі мало інформації. Однак EK, здається, відіграє найважливішу роль і принаймні є тим, хто спочатку втілив у життя нігерійську Tesla.
Нігерійська Tesla вкрала загалом понад 800.000 28.000 різних ідентифікаційних даних у приблизно 419 XNUMX жертв. Це показує, наскільки простими, але ефективними можуть бути такі типи кампаній. Випадок EK також показує цікаву еволюцію загрози, яка здійснила класичне шахрайство з попередньою оплатою (шахрайство XNUMX), перш ніж зрештою перейти у світ розповсюдження шкідливого програмного забезпечення. Користувачі Malwarebytes захищені від агента Tesla. Зловмисник визначається як Spyware.Password.Stealer.
Більше на Malwarebytes.com
Про Malwarebytes Malwarebytes захищає домашніх користувачів і бізнес від небезпечних загроз, програм-вимагачів і експлойтів, які антивірусні програми не виявляють. Malwarebytes повністю замінює інші антивірусні рішення для запобігання сучасним загрозам кібербезпеки для приватних користувачів і компаній. Понад 60.000 XNUMX компаній і мільйони користувачів довіряють інноваційним рішенням Malwarebyte для машинного навчання та її дослідникам безпеки, щоб запобігти виникаючим загрозам і знищити зловмисне програмне забезпечення, яке упускають застарілі рішення безпеки. Відвідайте www.malwarebytes.com для отримання додаткової інформації.