Массовые вредоносные рассылки обычно достаточно примитивны и не отличаются разнообразием — весь контент умещается в несколько предложений, в которых пользователю предлагают скачать архив якобы с какими-нибудь срочными счетами или неоплаченными штрафами. В письмах может не быть ни подписей, ни логотипов, а текст может содержать орфографические и другие ошибки. Такие рассылки могут быть нацелены как на пользователей, так и на крупные компании, отличия в них не особо существенны.
Пример письма из массовой вредоносной рассылки
Но в последнее время ситуация начала меняться: злоумышленники стали использовать в массовых рассылках приемы, характерные для целевых атак. В частности, они рассылают письма от имени существующих компаний, копируют стиль письма и подпись отправителя.
Письмо от «клиента» с сюрпризом
Не так давно мы обнаружили интересное письмо. В нем якобы потенциальный клиент из Малайзии на довольно странном английском просит получателя ознакомиться с требованиями фирмы-заказчика и вернуться к нему с необходимыми документами. Общее оформление письма соответствует корпоративным стандартам переписки — присутствует логотип реально существующей компании, подпись, в которой указана информация об отправителе. В целом запрос выглядит легитимным, а языковые ошибки легко списать на тот факт, что представитель компании-клиента — не носитель английского.
Письмо с вредоносным вложением якобы от потенциального заказчика из Малайзии
Смущает в этом письме только адрес отправителя <newsletter@trade***.com>: имя newsletter обычно используется для рассылки новостей, а не для переписки по закупкам. Кроме того, домен отправителя не соответствует названию компании, указанному на логотипе.
В другом письме предполагаемый клиент из Болгарии хочет уточнить у продавца, есть ли нужный товар в наличии, и обсудить детали продажи. Как и прошлом письме, список интересующих его товаров якобы находится во вложении. При этом сомнения, опять же, может вызвать только адрес отправителя, который находится не на болгарском, а на греческом домене, никак не связанном с компанией, которой притворяются злоумышленники.
Письмо с вредоносным вложением якобы от потенциального клиента из Болгарии
Объединяет эти письма не только схожий сценарий рассылки и тот факт, что по содержанию они не похожи на автоматически сгенерированные. Изучив заголовки писем, мы выяснили, что они имеют одну и ту же структуру: последовательность заголовков, формат идентификатора сообщения MSGID и почтовый клиент совпадают. Кроме того, письма приходят с ограниченного набора IP-адресов. Это означает, что они являются частью одной большой вредоносной почтовой кампании.
Сравнение почтовых заголовков двух вредоносных писем
В отличие от IP-адресов и заголовков, содержание писем довольно вариативно. Злоумышленники рассылают вредоносный архив от имени множества разных компаний, меняется и сам текст «запроса» к жертве. То есть авторы рассылки уделили достаточно много внимания подготовке, что нехарактерно для таких массовых кампаний.
Статистика
С апреля по август наши решения обнаружили 739 749 писем, относящихся к этой кампании. Рассылка достигла пика в июне, когда мы зафиксировали 194 100 писем, а затем пошла на спад: в июле мы выявили 178 510 писем, а в августе — 104 991 письмо.
Динамика числа вредоносных писем, апрель — август 2022 г. (скачать)
Полезная нагрузка: зловред Agensla (Agent Tesla)
Мы проанализировали содержимое архивов из спам-писем и выяснили, что в них содержится один из двух уникальных файлов, относящихся к одному семейству. Это распространенное вредоносное ПО Agent Tesla, написанное на .NET и известное с 2014 года. Его основная цель — получить сохраненные в браузерах и других приложениях пароли и отправить их злоумышленнику. Чаще всего зловред пересылает данные по электронной почте, но существуют и версии, отправляющие их в приватный чат в Telegram, на созданный злоумышленником сайт или FTP-сервер. В текущей рассылке распространяется одна из последних версий Agent Tesla, которая умеет извлекать данные из следующих приложений:
- Браузеры: Chrome, Edge, Firefox, Opera, 360 Browser, 7Star, Амиго, Brave, CentBrowser, Chedot, Chromium, Citrio, Cốc Cốc, Comodo Dragon, CoolNovo, Coowon, Elements Browser, Epic Privacy, Iridium Browser, Комета, Liebao Browser, Orbitum, QIP Surf, Sleipnir 6, Спутник, Torch Browser, Uran, Vivaldi, Яндекс.Браузер, QQ Browser, Cyberfox, IceDragon, Pale Moon, SeaMonkey, Waterfox, IceCat, K-Meleon.
- Почтовые клиенты: Becky!, Opera Mail, Foxmail, Thunderbird, Claws, Outlook, The Bat!, eM Client, Mailbird, IncrediMail, Postbox, Pocomail.
- FTP/SCP-клиенты: WinSCP, WS_FTP, FTPGetter, SmartFTP, FTP Navigator, Core FTP.
- Базы данных: MySQL Workbench.
- Клиенты удаленного администрирования: RealVNC, TightVNC, TigerVNC, UltraVNC, Windows RDP, cFTP.
- Vpn: NordVPN, OpenVPN.
- Мессенджеры: Psi/Psi+, Trillian.
Agent Tesla также может делать снимки экрана, перехватывать буфер обмена и записывать нажатия клавиш.
География атак Agent Tesla
Agent Tesla атакует пользователей по всему миру. С мая по август 2022 года наибольшую активность этого зловреда мы наблюдали в Европе, Азии и Латинской Америке. Большинство пострадавших пользователей — 20 941 — находилось в Мексике. На втором месте — Испания, где мы обнаружили попытки заражения на устройствах 18 090 пользователей. На третьем — Германия, где было затронуто 14 880 пользователей.
TOP 10 стран и территорий по числу атакованных пользователей:
Страна/территория | Число атакованных пользователей |
Мексика | 20 941 |
Испания | 18 090 |
Германия | 14 880 |
Турция | 13 326 |
Россия | 12 739 |
Италия | 12 480 |
Малайзия | 10 092 |
Вьетнам | 9 760 |
Бразилия | 8 851 |
Португалия | 8 739 |
Вывод
Обнаруженная рассылка наглядно показывает, что злоумышленники могут тщательно готовить даже массовые атаки. Письма, которые мы проанализировали, представляют собой качественные подделки под деловые предложения от реально существующих компаний. Спам-рассылку выдает только неуместный адрес отправителя. С большой вероятностью эти письма составлялись и рассылались вручную, при этом наши решения обнаруживали более сотни тысяч таких писем в месяц, а мишенью рассылки были организации по всему миру.
В качестве полезной нагрузки злоумышленники доставляют вредоносное ПО, способное красть учетные данные из внушительного списка приложений. Впоследствии эту информацию могут выставить на продажу на форумах в дарквебе и использовать уже в целевых атаках на организации. При этом стоит отметить, что Agent Tesla — давно известный стилер, который детектирует большинство защитных решений. Продукты «Лаборатории Касперского» присваивают ему вердикт Trojan-PSW.MSIL.Agensla.
Индикаторы компрометации
MD5 архивов-вложений:
ddc607bb993b94c543c63808bebf682a
862adb87b0b894d450f8914a353e3e9c
a1ae8b0d794af648908e0345204ea192
9d0364e1f625edb286b0d5541bb15357
eee70de3ac0dc902b99ed33408e646c9
MD5 исполняемого файла и информация о почтовых аккаунтах злоумышленников, с которых и на которые отправляются украденные образцом данные:
64011a7871abb873c822b8b99082e8ab
Mail from: info(a)essentialapparatus.co.ke
Password: Info@2018
Mail to: sales1.nuozhongsteel(a)gmail.com
Mail server: mail.essentialapparatus.co.ke:587
b012cb8cfee0062632817d12d43f98b4
Mail from: quality(a)keeprojects.in
Password: quality#@!
Mail to: quality(a)keeprojects.in
Mail server: mail.keeprojects.in:587
Массовая рассылка с элементами целевого спама