Die Experten von Kaspersky haben eine Spam-E-Mail-Kampagne auf Unternehmen weltweit entdeckt, die den berüchtigten Stealer Agent Tesla nutzt. Für die Spam-Kampagne ahmten die Cyberkriminellen E-Mails von Anbietern oder Kontrahenten detailliert nach, um an die Anmeldedaten der betroffenen Organisationen zu gelangen – lediglich die falsche Absenderadresse verriet die Cyberkriminellen.
Diese Zugangsdaten werden in Darkweb-Foren zum Verkauf angeboten oder bei zielgerichteten Angriffen gegen diese Organisationen verwendet. Laut Kaspersky-Telemetrie war die Aktivität der Malware von Mai bis August 2022 in Europa, Asien und Lateinamerika am höchsten. Die meisten attackierten Nutzer stammten mit 20.941 Nutzern aus Mexiko, gefolgt von Spanien mit 18.090 und Deutschland mit 14.880.
Cyberkriminelle investieren heutzutage viele Ressourcen in Massen-Spam-Kampagnen. Die entdeckte Spam-E-Mail-Kampagne, die sich an verschiedene Organisationen weltweit richtete, ahmte auf hohem Niveau Geschäftsanfragen echter Unternehmen nach, die sich nur durch falsche Absenderadressen identifizieren lassen konnten. Über diese Spam-Mails verbreiteten die Angreifer den Stealer Agent Tesla. Dabei handelt es sich um eine bekannte Trojaner-Spionage-Malware, die Authentifizierungsdaten, Screenshots und Daten stehlen kann, die von Webkameras und Tastaturen erfasst werden. Die Malware war als selbstextrahierendes Archiv über die Spam-Mails verteilt.
Nur die Absender-Adresse verrät die Cyberkriminellen
In einem entdeckten Fall nutzte ein Angreifer, der sich als malaysischer Interessent ausgab, eine seltsame Variante des Englischen, um den Empfänger zu bitten, einige Kundenanforderungen zu überprüfen und sich mit den angeforderten Dokumenten zu melden. Das allgemeine Format entsprach den Standards der Firmenkorrespondenz: ein Logo, das zu einem echten Unternehmen gehört und eine Signatur mit Absenderangaben. Insgesamt sah die Anfrage legitim aus, während die sprachlichen Fehler leicht dem Absender zugeschrieben werden konnten, der kein Muttersprachler ist. Lediglich die Absenderadresse newsletter@trade***.com, die als „Newsletter“ gekennzeichnet war und normalerweise für Nachrichten und nicht für die Beschaffung verwendet wird, war ein Indiz, dass es sich um keine legitime Mail handelte. Des Weiteren unterschied sich der Domainname des Absenders vom Firmennamen im Logo.
In einer weiteren E-Mail wollte sich ein angeblicher bulgarischer Kunde über die Verfügbarkeit einiger Produkte informieren und weitere Details besprechen. Die gewünschte Produktliste sollte sich wie im vorigen Muster im Anhang befinden. Die ähnlich verdächtige Absenderadresse gehörte zu einer griechischen, nicht bulgarischen Domain, die offenbar nichts mit dem Unternehmen zu tun hatte und deren Name von den Spammern missbräuchlich verwendet wurde.
„Bei Agent Tesla handelt es sich um einen sehr beliebten Stealer, der Passwörter und andere Anmeldeinformationen von betroffenen Organisationen stehlen kann“, erklärt Roman Dedenok, Sicherheitsexperte bei Kaspersky. „Die Malware ist seit dem Jahr 2014 bekannt und wird von Spammern gerne für Massenangriffe eingesetzt. Bei der aktuellen Kampagne allerdings setzen die Cyberkriminellen jedoch auf Techniken, die für zielgerichtete Angriffe typisch sind. So wurden die versendeten E-Mails speziell auf das anvisierte Unternehmen zugeschnitten – sie sind kaum von legitimen E-Mails zu unterscheiden.“
www.kaspersky.de