ТБИЛИСИ, 4 окт – Sputnik. Опасная программа Agent Tesla для кражи паролей распространяется через спам в корпоративной почте, говорится в сообщении "Лаборатории Касперского".
"Лаборатория Касперского" обнаружила вредоносную спам-кампанию, целью которой стали организации по всему миру – атакующие пытаются украсть учетные данные с помощью программы-стилера Agent Tesla.
Программа работает следующим образом: зловред распространяется через письма якобы от поставщиков или контрагентов. Украденные данные злоумышленники могут продавать на форумах в даркнете или использовать в дальнейших целевых атаках на те же организации.
Всего с апреля по август 2022 года решения "Лаборатории Касперского" обнаружили около 740 тысяч писем в рамках этой кампании.
Agent Tesla – троянец-шпион, который умеет красть логины и пароли из браузеров и других приложений, делать скриншоты, а также собирать данные с веб-камер и клавиатур. Зловред распространяется в виде архива в электронном письме.
"Agent Tesla – очень популярный стилер, используемый для кражи паролей и других учётных данных. Он известен с 2014 года и широко используется в массовых атаках. Однако в этой кампании злоумышленники взяли на вооружение приемы, типичные для целевых атак. Письма создавались под конкретные компании и мало чем отличались от легитимных", – комментирует Роман Деденок, антиспам-эксперт "Лаборатории Касперского".
Отмечается, что злоумышленники все тщательнее готовят массовые спам-атаки. Обычно такие письма довольно примитивны и не отличаются разнообразием, однако в последнее время в массовых рассылках стали прослеживаться приемы, характерные для целевых атак.
"В частности, атакующие рассылают письма от имени существующих компаний, копируют стиль письма и подпись отправителя. Единственное, что выдает злоумышленников, – это странные адреса отправки", – говорят специалисты.
Объединяет эти письма и то, что они не похожи на автоматически сгенерированные. Заголовки писем также имеют одну и ту же структуру. Кроме того, сообщения приходят с ограниченного набора IP-адресов. Это означает, что они являются частью одной большой вредоносной почтовой кампании.