İşletmelere gönderilen spam e-postalarında parola çalma Truva atı hırsızı tespit edildi

Siber suçlular, şirketlere e-posta ekinde casus truva atı gizleyen ve mükemmele yakın taklit edilmiş iş e-postaları gönderiyor.

Agent Tesla casus yazılım eklerini kullanan ve şirket çalışanlarını hedefleyen yeni bir kötü amaçlı toplu posta kampanyasına tanıklık ediyoruz. Saldırganlar bu kez e-postaları oluştururken ayrıntılara özel bir önem gösteriyor. Böylece saldırganların hazırladıkları e-postaları, ekli belgelere sahip sıradan iş e-postalardan sanan çalışanlar tuzağa düşebilir. Asıl amaçları, alıcının tuzağa düşerek ekli arşivi açmasını ve daha sonra kötü amaçlı dosyayı çalıştırmasını sağlamak.

Bu kötü amaçlı e-postayı diğerlerinden ayıran şey ne?

İlk olarak, siber suçlular gerçek şirketleri bir maske olarak kullanıyor. E-posta iletilerine gerçek logolar ve yasal görünen imzalar ekliyorlar. İngilizceleri mükemmelliğin yanından bile geçmiyor. Bu yüzden, daha az şüphe uyandırmak için ana dili İngilizce olmayan ülkelerde (Bulgaristan veya Malezya gibi) yaşıyor gibi davranıyorlar.

Saldırganlar, metni duruma uygun şekilde değiştirerek birçok şirket adına kötü amaçlı arşivlerini gönderiyor. Şirket çalışanlarına bazen ekte gönderdikleri arşivde yer alma ihtimali olan bazı ürünlerin fiyatlarını, bazen de listelenmiş bir ürünün stokta olup olmadığını soruyorlar. Büyük ihtimalle, kurbanlarını kandırmak için kullandıkları metnin tüm versiyonlarını henüz görmedik bile. Buradaki amaç, e-posta alıcısını, bu sahte müşterinin ilgilendiği ürün türlerini kontrol etmeye ikna etmek. Siber suçlular, hazırlık aşamasında çok çaba sarf etmişler, bu genellikle bu tarz toplu posta kampanyalarında yaptıkları bir şey değil. Daha önce bu tür tekniklere sadece hedefli saldırılarda başvurduklarını görmüştük.

Ekte Ajan Tesla bulunan bir mail örneği.

 

E-posta alıcılarının gözleriyle fark edebilecekleri tek tehlike işareti var: gönderenin adresi. Alan adı, şirketin alan adıyla nadiren eşleşiyor. Gönderenin adı ise, yasal iş adreslerinde pek de rastlanmayan imzadaki addan farklı. Yukarıdaki örnekte, e-posta “newsletter@” adresinden gönderilmiş. Bir pazarlama e-postası düşünüldüğünde normal olabilir, ancak fiyat teklifi talebi içeren bir e-posta için kesinlikle olağandışı.

Agent Tesla truva atı nedir?

Çözümlerimizin Trojan-PSW.MSIL.Agensla tanımladığı Agent Tesla, gizli bilgileri çalıp saldırgan operatörlere gönderen oldukça eski bir kötü amaçlı yazılım. Öncelikle, farklı programlarda saklanan kimlik bilgilerinin peşinde: tarayıcılar, e-posta istemcileri, FTP/SCP istemcileri, veritabanları, uzaktan yönetim araçları, VPN uygulamaları ve çeşitli anlık mesajlaşma programları. Ancak Agent Tesla, pano verilerini çalabiliyor, tuş vuruşlarını kaydedebiliyor ve ekran görüntüsü alabiliyor.

Agent Tesla, toplanan tüm bilgileri e-posta yoluyla saldırganlara gönderir. Ancak, kötü amaçlı yazılımın bazı modifikasyonları, verileri Telegram kullanarak da aktarabilir. Ayrıca, bir internet sitesine veya FTP sunucusuna yükleyebilir.

Bu Securelist yazısında, bahsettiğimiz kötü amaçlı yazılım ve kampanya hakkında verilen ayrıntıların yanı sıra güvenliğin ihlal edildiğini gösteren işaretleri bulabilirsiniz.

Kendinizi korumanın yolları

Aslında en iyi çözüm, bu tür siber tehditlerin, kötü amaçlı bir e-posta, kurumsal posta sunucusuna ulaştığında erken bir aşamada durdurulması. Bir tehdidi, çıplak gözle ilk bakışta her zaman fark edemesek de, e-posta tarayıcıları bu tür görevleri gerçekleştirmek için biçilmiş kaftan. Bu yüzden, doğru bir güvenlik çözümüyle e-posta sunucusunu korumak iyi bir fikir.

Bunun yanı sıra, çevrimiçi öğrenme platformlarıyla, çalışanlarınızın siber güvenlik bilincini artırmayı da göz önünde bulundurmalısınız.

Saldırganların gönderdiği kötü amaçlı yazılım ne olursa olsun, çalıştırılmadığından emin olmak için çalışanlarınızın bilgisayarlarında bir güvenlik çözümü bulundurmayı da düşünebilirsiniz.

İpuçları