有網絡犯罪份以商業機構為目標,透過濫發像真度極高的電郵,散播Agent Tesla間諜木馬程式,其最終目的是希望收件者能打開附件,並且執行壓縮檔內的惡意檔案。
百變的惡意電郵
Agent Tesla在散播階段最特別之處,是他們使用真實的公司作為掩飾,更使用真實的商標和像真的簽署,由於自知英文水平差,所以訛稱是非英語國家的居民(例如保加利亞或馬來西亞),以降低收件者的戒心。攻擊者發出的惡意電郵內容也有很多種類,而且內容也隨之而改變,有時會聲稱查詢附件中內列出的貨物售價,也有時候是查詢存貨量,變化之多連研究人員也認為未看過全部版本,可以看出犯罪份子在準備階段花下很多功夫,過往只在針對性攻擊中看到這種技術。
在收件人的角度,從肉眼看到的可疑之處就只有發送者地址,該域名與自稱的公司甚至是簽署相距甚遠,如果以「newsletter@」為地址的電郵用作營銷尚算全理,但查詢價錢就非常不正常。
甚麼是Agent Tesla木馬?
Agent Tesla是頗舊的惡意程式,盜取受害者的機密資料然後發送給操作員,首先會搜尋儲存在不同程式(瀏覽器、電郵客端、FTP/SCP客端、數據庫、遙距管理工具、VPN應用程式和多款即時通訊軟件),不過它也能夠盜取剪貼板的資料,記錄鍵盤輸入和畫面截圖,再把收集到的資料透過電郵傳送給攻擊者,不過有些變種會把資料通過Telegram發送或上傳到網站甚至是FTP伺服器,詳細資料可以瀏覽Securelist。
適宜及早攔截
應對這種網絡威脅,最理想是在早期加以攔截(惡意電郵到達公司電郵伺服器時),因為肉眼不一定能找到蛛絲馬跡,所以應該為電郵伺服器配備合適的防護,提高同事的網絡安全意識也是長遠的方法,最後當然是在電腦上安裝可靠的保安方案,以防止惡意程式在裝置上作惡。
資料來源:Kaspersky Blog
