ZSIS: U tijeku Agent Tesla phishing kampanja

ZSIS: U tijeku Agent Tesla phishing kampanja

Zavod za sigurnost informacijskih sustava upozorio je kako se u zadnjih nekoliko tjedana povećao broj zlonamjernih emailova usmjerenih prema tijelima u nadležnosti ZSIS-a.

Zlonamjerni mailovi sadrže zlonamjerni attachment ili zlonamjernim linkom, pri čemu su ovi s attachmentima znatno opasniji.

Oni sadrže attachment u kojem se nalazi datoteka s verzijom zlonamjernog programa Agent Tesla. To je jedan od trenutno najpopularnijih zlonamjernih programa kojeg napadači koriste s ciljem prikupljanja lozinki, PIN-ova za pametne kartice i drugih pristupnih podataka s kompromitiranog računala.

Osim prikupljanja pristupnih podataka, zlonamjerni program ima mogućnost prikupljanja unosa s tipkovnice i snimanja prikaza na ekranu, odnosno keylogger i screen capture mogućnosti.

Prikupljeni podaci napadačima se šalju putem elektroničke pošte SMTP protokolom, na FTP poslužitelj ili na web poslužitelj HTTP protokolom pod kontrolom napadača.
 
Mailovi kojima se ovaj zlonamjerni program širi mogu biti različite tematike – najčešće se u tijelu poruke nalazi upit ili odgovor na navodnu narudžbu, informacije o isporuci paketa, potvrda plaćanja i slično, a u posljednje vrijeme su uočene i poruke tematikom vezane uz pandemiju novog koronavirusa.

Privitak najčešće koristi sljedeće ekstenzije img, iso, arj, ace, z, xz, rar, 7z, gz ili zip. Pošiljatelji poruke najčešće nisu lažirani, već je riječ o kompromitiranim korisničkim računima ili o generičkim adresama elektroničke pošte na servisima poput Gmaila i Yahooa. Pošiljatelji i organizacije najčešće nemaju nikakve poveznice s primateljem i organizacijom primatelja.

Poruka može, ali i ne mora biti lokalizirana – najčešće se koristi engleski jezik, iako neke poruke mogu biti prevedene na hrvatski korištenjem javno dostupnih servisa.

U drugoj kampanji, korisniku se šalje poruka s lažiranim pošiljateljem, odnosno s mailovima oblika support@organizacija.hr, administrator@organizacija.hr ili primatelj@organizacija.hr, pri čemu izraz organizacija bude zamijenjen imenom tvrtke primatelja, kako bi ga se uvjerilo da je poruka poslana od strane njegovog vlastitog poslodavca.

Porukom se primatelja obavještava da je njegov poštanski sandučić popunjen, da adresu elektroničke pošte mora validirati ili da postoji određeni broj poruka elektroničke pošte koje su trenutno u stanju čekanja jer nisu isporučene ili zaprimljene.

U tijelu poruke nalazi se poveznica na lažnu web stranicu za prijavu na sustav elektroničke pošte, a popunjavanjem obrasca za prijavu, napadaču se šalju pristupni podaci.

ZSIS osobe nadležne za računalnu sigunost u tvrtkama upozorava da upozore svoje korisnike na navedeni rizik, podijele upute za prepoznavanje i postupanje s phishing porukama te - ako nisu bitne za poslovanje, blokiraju uspostavu izravnih TCP mrežnih veza s korisničkih računala prema računalima na Internetu na mrežnim portovima 21 (FTP), 25, 465, 587 i 2525 (SMTP) ili stave upozorenja kada je s korisničkog računala uspostavljena mrežna veza prema gore navedenim mrežnim portovima.

PROMO: Rep.hr do 2021. godine želi postati portal s najviše IT oglasa za posao. Pogledajte koja se zanimanja trenutno traže.