Διαρκώς πιο εφευρετικό γίνεται το ψηφιακό έγκλημα, με πλέον πρόσφατο δείγμα αυτής της εφευρετικότητας μια ασυνήθιστη εκστρατεία spam email, που στόχο είχε επιχειρήσεις από ολόκληρο τον κόσμο. Με όχημα απομιμήσεις email από προμηθευτές ή αντισυμβαλλόμενες εταιρείες, οι εισβολείς επιχειρούσαν να αποσπάσουν τα δεδομένα σύνδεσης από τους οργανισμούς που δέχονταν επίθεση.
Η απόπειρα γινόταν, αξιοποιώντας το διαβόητο malware Agent Tesla. Τα δεδομένα αυτά στη συνέχεια ενδέχεται να προσφέρονται προς πώληση σε φόρουμ του darkweb ή να χρησιμοποιούνται σε στοχευμένες επιθέσεις εναντίον αυτών των οργανισμών.
Σύμφωνα με υλικό που συγκέντρωσε η Kaspersky, η δραστηριότητα του κακόβουλου λογισμικού από τον Μάιο έως τον Αύγουστο του 2022 ήταν μεγαλύτερη στην Ευρώπη, την Ασία και τη Λατινική Αμερική. Ο μεγαλύτερος αριθμός θυμάτων (20.941) καταγράφηκε στο Μεξικό.
Ακολούθησε η Ισπανία, με 18.090 συσκευές χρηστών να δέχονται προσπάθειες μόλυνσης και η Γερμανία, όπου επηρεάστηκαν 14.880 χρήστες. Από τον Μάιο έως τον Αύγουστο του 2022, 5.050 χρήστες στην Ελλάδα επηρεάστηκαν από το Agent Tesla.
Στόχοι παγκοσμίως
Η εκστρατεία spam email, που έφερε στο φως η Kaspersky, είχε στόχο διάφορους οργανισμούς, αξιοποιώντας υψηλής ποιότητας απομιμήσεις επαγγελματικών αιτημάτων από πραγματικές εταιρείες, με μοναδικό διαφοροποιητικό στοιχείο να είναι η λανθασμένη διεύθυνση αποστολέα.
“Το AgentTesla αποτελεί μια εξαιρετικά δημοφιλή μέθοδο απόσπασης κωδικών πρόσβασης και άλλων διαπιστευτηρίων από τους οργανισμούς που δέχονται επίθεση. Είναι γνωστό από το 2014 και χρησιμοποιείται ευρέως από spammers σε μαζικές επιθέσεις. Ωστόσο, σε αυτήν την εκστρατεία οι εγκληματίες χρησιμοποίησαν τεχνικές, που είναι χαρακτηριστικές για στοχευμένες επιθέσεις”, σχολιάζει η Kaspersky.
Spamemail
Πλέον, οι εγκληματίες του κυβερνοχώρου επικεντρώνονται στη μαζική αποστολή spam email. Στη συγκεκριμένη εκστρατεία που αποκάλυψε Kaspersky, για την απόσπαση των στοιχείων των θυμάτων οι επιτιθέμενοι χρησιμοποίησαν το Agent Tesla – ένα πολύ γνωστό Trojan Spy malware, σχεδιασμένο να κλέβει δεδομένα ελέγχου ταυτότητας, στιγμιότυπα οθόνης και δεδομένα που καταγράφηκαν από κάμερες web και πληκτρολόγια.
Το malware διανεμήθηκε ως self-extracting αρχείο συνημμένο στο κακόβουλο email. Σε ένα χαρακτηριστικό email, κάποιος που υποδύεται έναν υποψήφιο πελάτη από τη Μαλαισία χρησιμοποιεί ένα περίεργο Αγγλικό ιδίωμα για να ζητήσει από τον παραλήπτη να εξετάσει ορισμένα αιτήματα των πελατών και να λάβει πίσω τα έγγραφα που ζητήθηκαν.
Η γενική μορφή των email αντιστοιχεί στα πρότυπα εταιρικής αλληλογραφίας: υπάρχει ένα λογότυπο που ανήκει σε μια πραγματική εταιρεία και μια υπογραφή που περιέχει τα στοιχεία του αποστολέα. Συνολικά, δεν φαίνεται κάτι το παράδοξο στο email, ενώ τα γλωσσικά σφάλματα μπορούν εύκολα να αποδοθούν στο γεγονός ότι δεν είναι η μητρική γλώσσα του αποστολέα.
Το μόνο ύποπτο πράγμα σχετικά με το email είναι ότι η διεύθυνση του αποστολέα, newsletter@trade***.com, χαρακτηρίζεται ως “newsletter”, που χρησιμοποιείται συνήθως για ενημερωτικά δελτία και όχι για προμήθειες. Επιπλέον, το domain name του αποστολέα είναι διαφορετικό από το όνομα της εταιρείας στο λογότυπο.