Agent Tesla phishing kampanja
U zadnjih nekoliko tjedana, Zavod za sigurnost informacijskih sustava (ZSIS) uočio je povećan broj zlonamjernih (phishing) poruka elektroničke pošte koje su usmjerene prema tijelima u nadležnosti ZSIS-a.
Uočena su dva različita tipa zlonamjernih poruka:
1. Poruke elektroničke pošte sa zlonamjernim privitkom
2. Poruke elektroničke pošte sa zlonamjernom poveznicom na phishing web stranicu
Prva kampanja znatno je opasnija, budući da se kao privitak poruke šalje zlonamjerni program koji predstavlja inačicu Agent Tesla (OriginLogger) zlonamjernog programa.
Navedeni zlonamjerni program trenutno je jedan od “najpopularnijih” zlonamjernih programa kojeg napadači koriste s ciljem prikupljanja zaporki i drugih pristupnih podataka s kompromitiranog računala (npr. zaporke i PIN-ovi za pametne kartice i sl.).
Osim prikupljanja pristupnih podataka, zlonamjerni program ima mogućnost prikupljanja unosa s tipkovnice (tzv. keylogger) te presliku trenutnog prikaza na ekranu (tzv. screen capture).
Prikupljeni podaci napadačima se šalju putem elektroničke pošte (SMTP protokolom), na FTP poslužitelj ili na web poslužitelj (HTTP protokolom) pod kontrolom napadača.
Poruke elektroničke pošte kojima se ovaj zlonamjerni program širi mogu biti različite tematike – najčešće se u tijelu poruke nalazi upit ili odgovor na navodnu narudžbu, informacije o isporuci paketa, potvrda plaćanja i sl, a u posljednje vrijeme su uočene i poruke tematikom vezane uz pandemiju novog koronavirusa.
Privitak najčešće koristi sljedeće datotečne nastavke:
-
img
-
iso
-
arj
-
ace
-
z
-
xz
-
rar
-
7z
-
gz
-
zip
Pošiljatelji poruke najčešće nisu lažirani, već je riječ o kompromitiranim korisničkim računima ili o generičkim adresama elektroničke pošte (Gmail, Yahoo i dr.). Pošiljatelji i organizacije najčešće nemaju nikakve poveznice s primateljem i organizacijom primatelja.
Poruka može, ali i ne mora biti “lokalizirana” – najčešće se koristi engleski jezik, iako neke poruke mogu biti prevedene na hrvatski korištenjem javno dostupnih servisa.
Primjeri poruka navedeni su u nastavku:
U drugoj kampanji, korisniku se šalje poruka s
lažiranim pošiljateljem (npr.
support@organizacija.hr, administrator@organizacija.hr ili
primatelj@organizacija.hr) čime se primatelja nastoji uvjeriti da je poruka poslana od strane njegovog vlastitog poslodavca.
Porukom se primatelja obavještava da je njegov poštanski sandučić popunjen, da adresu elektroničke pošte mora validirati ili da postoji određeni broj poruka elektroničke pošte koje su trenutno u stanju čekanja (nisu isporučene ili zaprimljene).
U tijelu poruke nalazi se poveznica na lažnu (
phishing) web stranicu za prijavu na sustav elektroničke pošte – popunjavanjem obrasca za prijavu, napadaču se šalju pristupni podaci.
Primjeri takvih poruka i izgleda
phishing stranice prikazani su u nastavku:
S ciljem sprječavanja kompromitacije, preporuča se poduzimanje sljedećih koraka:
-
Upozorite vaše korisnike o povećanoj mogućnosti primitka zlonamjernih poruka elektroničke pošte te na poseban oprez prilikom primitka poruke koja sadržava privitak – osobito ako privitak sadržava “neočekivan” i/ili neobičan datotečni nastavak
-
Podijelite s vašim korisnicima općenite preporuke za prepoznavanje i postupanje s phishing porukama dostupne na adresi https://www.zsis.hr/UserDocsImages/phishing/Prepoznaj_laznu_e-postu.pdf
-
Ako za to ne postoji eksplicitna poslovna potreba, potrebno je blokirati uspostavu izravnih TCP mrežnih veza s korisničkih računala prema računalima na Internetu na mrežnim portovima 21 (FTP), 25, 465, 587 i 2525 (SMTP). Ako veze nije moguće blokirati, preporuča se stvaranje upozorenja u svim slučajevima kada je s korisničkog računala uspostavljena mrežna veza prema gore navedenim mrežnim portovima