Atualmente, os cibercriminosos investem esforços em campanhas de spam em massa – e a mais recente investigação conduzida pela Kaspersky fornece uma prova clara disso mesmo. A campanha de e-mail spam descoberta, destinada a várias organizações, continha imitações de alta qualidade de inquéritos comerciais de empresas reais, apenas dadas pelos endereços inadequados do remetente.
Além disso, como carga útil, os atacantes usaram o Agent Tesla stealer – um conhecido Trojan Spy malware, concebido para roubar dados de autenticação, capturas de ecrã, e dados capturados de câmaras web e teclados. O malware foi distribuído como um arquivo autoextraível anexado ao e-mail.
Num exemplo de e-mail, fazendo-se passar por um prospect malaio, utiliza uma estranha variação do inglês para pedir ao destinatário que reveja alguns requisitos do cliente e volte com os documentos solicitados. O formato geral cumpre as normas de correspondência corporativa: existe um logótipo que pertence a uma empresa real e uma assinatura que apresenta os detalhes do remetente. De um modo geral, o pedido parece legítimo, enquanto os erros linguísticos podem ser facilmente atribuídos ao remetente que não é um falante nativo.
A única coisa suspeita sobre o e-mail é o endereço do remetente, newsletter@trade***.com, é rotulado como “newsletter”, tipicamente utilizado para notícias, não para aquisições. Além disso, o nome de domínio do remetente difere do nome da empresa no logótipo.
Num outro e-mail, um suposto cliente búlgaro faz um inquérito sobre a disponibilidade de alguns produtos e oferece-se para discutir os detalhes de um negócio. Diz-se que a lista de produtos solicitada consta do anexo, tal como na amostra anterior. O endereço do remetente, igualmente suspeito, pertence a um domínio grego, não búlgaro, que aparentemente não tem nenhuma relação com a empresa cujo nome é utilizado pelos spammers.
As mensagens tiveram origem numa gama limitada de endereços IP e os arquivos anexados continham o mesmo malware, Agent Tesla – o que faz com que os investigadores pensem que todas estas mensagens faziam parte de uma campanha direcionada.
O Agent Tesla tem como alvos utilizadores em todo o mundo. Segundo as observações da Kaspersky, a atividade do malware desde maio até agosto de 2022 foi a mais elevada da Europa, Ásia e América Latina. O maior número de vítimas (20.941) foi registado no México. Seguiu-se a Espanha, com 18.090 dispositivos de utilizadores a registar tentativas de infeção, e a Alemanha, onde 14.880 utilizadores foram afetados.
“O Agent Tesla é um stealer muito popular utilizado para ir à procura de senhas e outras credenciais a organizações afetadas. É conhecido desde 2014, e é muito utilizado por spammers em ataques em massa. No entanto, nesta campanha, os cibercriminosos assumiram técnicas típicas de ataques direcionados – os e-mails enviados foram adaptados especialmente para a empresa de interesse e são pouco diferentes dos legítimos”.
Roman Dedenok, especialista em segurança da Kaspersky.
Os produtos Kaspersky detetam o Agent Tesla Stealer as Trojan-PSW.MSIL.Agensla. Para aprender mais à cerca do Agent Tesla Stealer, leia o relatório completo na Securelist.
Para se proteger de campanhas de e-mail spam, a Kaspersky recomenda o seguinte:
- Proporcione ao seu staff formação básica em higiene de ciber-segurança. Conduzir um ataque de phishing simulado para assegurar que saibam distinguir os e-mails de phishing.
- Utilizar uma solução de proteção para endpoints e servidores de email com capacidades anti-phishing, como o Kaspersky Endpoint Security for Business, para diminuir a hipótese de infeção através de um email de phishing.
Se utilizar o Microsoft 365 cloud service, não se esqueça de o proteger também. Kaspersky Security for Microsoft Office 365 tem um anti-spam e anti-phishing dedicado, bem como proteção para SharePoint, equipas e aplicações OneDrive para comunicações comerciais seguras.
Outros artigos interessantes: