Массовая рассылка с элементами целевого спама
Массовые вредоносные рассылки обычно достаточно примитивны и не отличаются разнообразием — весь контент умещается в несколько предложений, в которых пользователю предлагают скачать архив якобы с какими-нибудь срочными счетами или неоплаченными штрафами. В письмах может не быть ни подписей, ни логотипов, а текст может содержать орфографические и другие ошибки. Такие рассылки могут быть нацелены как на пользователей, так и на крупные компании, отличия в них не особо существенны.
Пример письма из массовой вредоносной рассылки
Но в последнее время ситуация начала меняться: злоумышленники стали использовать в массовых рассылках приемы, характерные для целевых атак. В частности, они рассылают письма от имени существующих компаний, копируют стиль письма и подпись отправителя.
Письмо от «клиента» с сюрпризом
Не так давно мы обнаружили интересное письмо. В нем якобы потенциальный клиент из Малайзии на довольно странном английском просит получателя ознакомиться с требованиями фирмы-заказчика и вернуться к нему с необходимыми документами. Общее оформление письма соответствует корпоративным стандартам переписки — присутствует логотип реально существующей компании, подпись, в которой указана информация об отправителе. В целом запрос выглядит легитимным, а языковые ошибки легко списать на тот факт, что представитель компании-клиента — не носитель английского.
Письмо с вредоносным вложением якобы от потенциального заказчика из Малайзии
Смущает в этом письме только адрес отправителя <newsletter@trade***.com>: имя newsletter обычно используется для рассылки новостей, а не для переписки по закупкам. Кроме того, домен отправителя не соответствует названию компании, указанному на логотипе.
В другом письме предполагаемый клиент из Болгарии хочет уточнить у продавца, есть ли нужный товар в наличии, и обсудить детали продажи. Как и прошлом письме, список интересующих его товаров якобы находится во вложении. При этом сомнения, опять же, может вызвать только адрес отправителя, который находится не на болгарском, а на греческом домене, никак не связанном с компанией, которой притворяются злоумышленники.
Письмо с вредоносным вложением якобы от потенциального клиента из Болгарии
Объединяет эти письма не только схожий сценарий рассылки и тот факт, что по содержанию они не похожи на автоматически сгенерированные. Изучив заголовки писем, мы выяснили, что они имеют одну и ту же структуру: последовательность заголовков, формат идентификатора сообщения MSGID и почтовый клиент совпадают. Кроме того, письма приходят с ограниченного набора IP-адресов. Это означает, что они являются частью одной большой вредоносной почтовой кампании.
Сравнение почтовых заголовков двух вредоносных писем
В отличие от IP-адресов и заголовков, содержание писем довольно вариативно. Злоумышленники рассылают вредоносный архив от имени множества разных компаний, меняется и сам текст «запроса» к жертве. То есть авторы рассылки уделили достаточно много внимания подготовке, что нехарактерно для таких массовых кампаний.
Статистика
С апреля по август наши решения обнаружили 739 749 писем, относящихся к этой кампании. Рассылка достигла пика в июне, когда мы зафиксировали 194 100 писем, а затем пошла на спад: в июле мы выявили 178 510 писем, а в августе — 104 991 письмо.
Динамика числа вредоносных писем, апрель — август 2022 г. (скачать)
Полезная нагрузка: зловред Agensla (Agent Tesla)
Мы проанализировали содержимое архивов из спам-писем и выяснили, что в них содержится один из двух уникальных файлов, относящихся к одному семейству. Это распространенное вредоносное ПО Agent Tesla, написанное на .NET и известное с 2014 года. Его основная цель — получить сохраненные в браузерах и других приложениях пароли и отправить их злоумышленнику. Чаще всего зловред пересылает данные по электронной почте, но существуют и версии, отправляющие их в приватный чат в Telegram, на созданный злоумышленником сайт или FTP-сервер. В текущей рассылке распространяется одна из последних версий Agent Tesla, которая умеет извлекать данные из следующих приложений:
- Браузеры: Chrome, Edge, Firefox, Opera, 360 Browser, 7Star, Амиго, Brave, CentBrowser, Chedot, Chromium, Citrio, Cốc Cốc, Comodo Dragon, CoolNovo, Coowon, Elements Browser, Epic Privacy, Iridium Browser, Комета, Liebao Browser, Orbitum, QIP Surf, Sleipnir 6, Спутник, Torch Browser, Uran, Vivaldi, Яндекс.Браузер, QQ Browser, Cyberfox, IceDragon, Pale Moon, SeaMonkey, Waterfox, IceCat, K-Meleon.
- Почтовые клиенты: Becky!, Opera Mail, Foxmail, Thunderbird, Claws, Outlook, The Bat!, eM Client, Mailbird, IncrediMail, Postbox, Pocomail.
- FTP/SCP-клиенты: WinSCP, WS_FTP, FTPGetter, SmartFTP, FTP Navigator, Core FTP.
- Базы данных: MySQL Workbench.
- Клиенты удаленного администрирования: RealVNC, TightVNC, TigerVNC, UltraVNC, Windows RDP, cFTP.
- Vpn: NordVPN, OpenVPN.
- Мессенджеры: Psi/Psi+, Trillian.
Agent Tesla также может делать снимки экрана, перехватывать буфер обмена и записывать нажатия клавиш.
Вывод
Обнаруженная рассылка наглядно показывает, что злоумышленники могут тщательно готовить даже массовые атаки. Письма, которые мы проанализировали, представляют собой качественные подделки под деловые предложения от реально существующих компаний. Спам-рассылку выдает только неуместный адрес отправителя. С большой вероятностью эти письма составлялись и рассылались вручную, при этом наши решения обнаруживали более сотни тысяч таких писем в месяц, а мишенью рассылки были организации по всему миру.
В качестве полезной нагрузки злоумышленники доставляют вредоносное ПО, способное красть учетные данные из внушительного списка приложений. Впоследствии эту информацию могут выставить на продажу на форумах в дарквебе и использовать уже в целевых атаках на организации. При этом стоит отметить, что Agent Tesla — давно известный стилер, который детектирует большинство защитных решений.