Вредоносная программа распространяется по всему миру, Россия здесь не исключение. Стоящие за атакой лица стремятся похитить учетные данные, используя программу-стилер Agent Tesla. Для распространения вредоносного ПО используется схема с письмами от якобы поставщиков или контрагентов. Всего за пять месяцев начиная с апреля 2022 года «Лабораторией Касперского» выявлено порядка 740 тысяч писем, разосланных злоумышленниками в рамках проводимой ими кампании.

Похищенные данные злоумышленники продают на форумах в даркнете или используют в дальнейших атаках на организации.

Стилер Agent Tesla — троян, способный красть логины и пароли из браузеров, а также других приложений, делать скриншоты экрана, осуществлять сбор данных с веб-камеры и клавиатуры. Вредоносное ПО распространяется в формате архива через рассылку в электронных письмах. 

Согласно данным полученным «Лабораторией Касперского», кибер-преступники стали гораздо тщательнее заниматься подготовкой массовых спам-атак. Обычно письма такого плана примитивны и выполняются по шаблонам, однако в последнее время в массовых рассылках стали использоваться более тонкие приемы, обычно характерные для целевых атак.

Например, злоумышленники стали рассылать письма, мимикрируя под существующие компании, качественно подделывая стиль деловых писем и корпоративную стилистику. Догадаться о преступном характере письма можно по странным адресам отправителя. Если доменное имя отправителя отличается от официального наименования компании на логотипе — есть серьезный повод усомниться в подлинности такого письма. Заголовки вредоносных писем имеют схожую структуру, но при этом они не похожи на автоматически сгенерированные примитивные письма. Кроме того, рассылка осуществляется с ограниченного набора IP-адресов, что свидетельствует о том, что процесс является частью большой скоординированной кампании по рассылке вредоносного ПО. Объединяет эти письма не только схожий сценарий рассылки и то, что они не похожи на автоматически сгенерированные. Заголовки писем также имеют одну и ту же структуру.

Для защиты своего предприятия от подобных угроз «Лаборатория Касперского» рекомендует организациям следующие меры безопасности:

• обучение сотрудников компании правилам информационной безопасности, проведение регулярных тренингов, в частности обучение безопасному использованию электронной почты;
• установка специализированной защиты почтовых серверов. Например, Kaspersky Security для почтовых серверов с функциями борьбы с фишингом, спамом и детектирования вредоносного ПО.