Škodlivý kód AgentTesla zbiera citlivé informácie používateľov a umožňuje získať vzdialený prístup k ich zariadeniam.

Na túto aktivitu upozornil ESET, ktorý hovorí, že útok je zaznamenaný celosvetovo a na Slovensku sa šíri prostredníctvom emailov imitujúcich oficiálnu komunikáciu VÚB banky, Tatra banky a Slovenskej sporiteľne. Vo svojej mailovej schránke môžu klienti nájsť správu z adresy ccmw@railway.gov.bd, ktorej doména pripomína vládnu organizáciu v Bangladéši. Podvodný mail sa vydáva za urgentnú informáciu o prijatej platbe, čomu je príznačný aj predmet správy URGENT: Kópia avíza o došlej platbe.

Útočníci spravili tento podvrh, aby oklamali používateľov a sociálnym inžinieringom ich donútili vo vlastnej zvedavosti otvoriť prílohu. Ako vidno, môže sa tváriť ako PDF, no posledná prípona je EXE a teda ide o spustiteľný súbor. Niektoré programy na emaily zobrazia len prvú príponu a tak používateľ túto nezrovnalosť neodhalí na prvýkrát. Práve v tomto by mal pomôcť nainštalovaný antivírus, ktorý podozrivý súbor zachytí či už pri ukladaní prílohy alebo pokusu o spustenie.

Po otvorení sa spustí program typu downloader, ktorý bude z cieľového servera sťahovať škodlivé kódy. Takto sa do počítača dostane aj kód AgentTesla, ktorý bude kradnúť informácie z počítača. To napríklad zachytávaním stlačených klávesov alebo bude vyhotovovať snímky obrazovky.

AgentTesla sa šíri už roky a jeho autori ho pravidelne aktualizujú o nové schopnosti, vďaka ktorým sa vyhýba detekcii bezpečnostnými softvérmi. ESET uvádza, že jeho bezpečnostné riešenia ho dokážu rozpoznať, vrátane jeho modifikácií a najnovších variantov.

Zdroj: ESET

Prečítajte si aj: