BRATISLAVA - Národné centrum kybernetickej bezpečnosti (NCKB) NBÚ varuje pred masívnou phishingovou kampaňou zameranou na širokú verejnosť. Jej cieľom je infikovať zariadenia obetí malvérom AGENT TESLA, ktorý slúži na získavanie citlivých údajov. Národný bezpečnostný úrad o tom informuje na svojom webe.
"Útočníci rozposielajú e-mailové správy z legitímnych, avšak kompromitovaných adries. Obeť obdrží e-mailovú správu obsahujúcu krátky text s tematikou potvrdenia objednávky, ktorý ju nepriamo navádza na interakciu s priloženým súborom," opisuje NBÚ a dodáva, že telo správy obsahuje krátky text, najčastejšie zmieňujúci "podpis a pečiatku" a predvolený podpis "Odoslané z Outlooku pre Android".
Charakter textu nevykazuje znaky spearphishingu, keďže nenaznačuje znalosť konkrétnych informácií o obeti a je pomerne vágny. "V niektorých vzorkách možno pozorovať lexikálne chyby, ktoré mohli byť spôsobené využitím automatickej korekcie jazyka alebo strojovým prekladom," pokračuje úrad s tým, že pozorované boli aj jazykové mutácie v českom a maďarskom jazyku.
Prílohou je komprimovaný súbor s koncovkou .tar, pomenovaný podľa dátumu a číselného kódu (napr. 20260518‑123456.tar). V archíve sa nachádza škodlivý JavaScript (.js), ktorý po spustení stiahne malvér Agent Tesla. Ten dokáže zaznamenávať stlačené klávesy, zbierať prihlasovacie údaje, monitorovať schránku, vytvárať snímky obrazovky a odosielať ich útočníkom cez protokoly SMTP, FTP, HTTP či cez platformu Telegram.
Agent Tesla
Malvér známy ako „Agent Tesla“ je známy už od roku 2014, kedy bol prezentovaný ako údajne legitímny nástroj určený na vzdialené monitorovanie vlastného PC. Výrobcovia však boli prichytení pri poskytovaní návodov na obídenie detekcie či iných bezpečnostných opatrení priamo na oficiálnej platforme pre poskytovanie podpory používateľom. Agent Tesla sa bežne distribuuje prostredníctvom modelu Malware-as-a-Service (MaaS), kedy je používateľom predávaný ako komplexná služba vrátane ovládacieho panelu, pravidelných aktualizácií a modulárnej funkcionality, ktorá presahuje rámec jednoduchého keyloggera.
Kompromitácia citlivých informácií
NCKB upozorňuje, že takto môže dôjsť ku kompromitácii hesiel, bankových údajov, kryptografických kľúčov aj ďalších citlivých informácií. Phishingové kampane šíriace tento malvér môžu byť generické alebo cielené a tematicky sa orientujú na zasielanie faktúr, potvrdenia o objednávkach, alebo dokumentáciu spojenú s dopravou produktov.
Priložené súbory s koncovkami „.tar“, „.rar“, „.gz“ alebo „.zip“ obsahujú obfuskovaný .js alebo .jse skript, prípadne škodlivý Word dokument obsahujúci downloader. Metódy, ktoré útočníci využívajú pre obchádzanie bezpečnostných prvkov, infekciu zariadení a dosiahnutie perzistencie, sa medzi jednotlivými kampaňami rôznia a priebežne vyvíjajú.
Odporúčania
Vzhľadom na intenzitu a rozsah prebiehajúcej kampane NCKB pre účely prevencie odporúča:
- Dodržiavanie základnej e-mailovej hygieny: nikdy neklikajte na odkazy a nesťahujte súbory, ktoré neočakávate, nepoznáte alebo sú podozrivého charakteru. Ak je to možné, preverte legitimitu správy prostredníctvom overených kanálov,
- Aktivácia viacfaktorovej autentifikácie na všetkých dôležitých systémoch a službách, ktoré ju podporujú: aj v prípade odcudzenia prihlasovacích údajov tak vytvoríte dodatočnú prekážku útočníkovi,
- Pravidelná aktualizácia používaného softvéru: Agent Tesla, ako aj iné druhy malvéru môžu zneužívať bezpečnostné zraniteľnosti.
Čo ak už incident nastal:
- Izolácia zariadenia: okamžite odpojte zasiahnuté zariadenie od internetu za účelom prerušenia exfiltrácie údajov,
- Reinštalácia zariadenia: vzhľadom na pokročilé schopnosti perzistencie odporúčame kompletné premazanie disku a reinštaláciu operačného systému,
- Zmena prihlasovacích údajov: čo najrýchlejšie zmeňte prihlasovacie údaje všetkých služieb, do ktorých ste sa prihlasovali na zasiahnutom zariadení, počínajúc primárnou e-mailovou schránkou a bankovými účtami,
- Dodatočná kontrola účtov: vykonanie kontroly nastavení účtov, pravidiel preposielania pošty a zoznam pripojených zariadení.
