"Dzień dobry, w załączniku zamówienie (...)". Dla wielu z nas to codzienność w mailowej skrzynce, ale jeśli trafi do Was coś takiego, a nigdy zamówień nie dostawaliście - jest duże ryzyko, że macie do czynienia ze złośliwą treścią. Tak, jak w przypadku próbki, którą przestępcy byli uprzejmi wysłać bezpośrednio na nasz adres abuse. Nie ma to jak siać nim wszędzie, gdzie się da, a honeypot mailowy robi się sam...
Załącznik do maila to plik XLS, wykorzystujący starego exploita CVE-2017-11882. Pobiera on złośliwy plik z adresu
hxxp://103[.]207.38.82/o365/htaccess.exe
Sam htaccess.exe to wspominany już w tytule AgentTesla - trojan zdalnego dostępu (Remote Access Trojan, RAT), mogący doinstalować dowolne złośliwe moduły na zainfekowanym komputerze.
Warto zauważyć, że rolę serwera Command&Control spełnia bot na komunikatorze Telegram
hxxps://api[.]telegram.org/bot2020525866:AAFU5I3pRjBQ8AH6DaTFwmQULu8foR9ODWo/sendDocument
To kolejny krok w ewolucji AgentTesla, używającego do tej pory do komend i eksfiltracji raczej serwerów SMTP i FTP.
11 maja 2022
Zaległa faktura? Nie! To AgentTesla!10 maja 2022
Niedopłata podatku? Nie - to oszustwo!26 kwietnia 2022
Wraca Agent Tesla, uważajcie na niezamawiane "faktury"Zgłoś incydent