Novas variantes de malware podem ser descobertas online todos os dias, pois é um dos métodos mais eficazes para os cibercriminosos encontrarem táticas para espalhar vírus. O malware Agent Tesla teve um aumento na atividade no início da pandemia e, à medida que os hackers continuam a usá-lo nos próximos anos, eles estão evoluindo suas técnicas e adotando novas táticas de ataque.
Através do X-Labs, a Forcepoin aprendeu recentemente sobre uma estratégia comum em que criminosos usam o e-mail como meio de entrega, anexando arquivos infectados para atrair usuários de outros provedores de serviços.
O remetente se passa por uma prestadora de serviços (que, neste exemplo a seguir, é o site internacional Booking.com), por meio de um arquivo em formato PDF que, ao ser aberto, instala um Remote Access Trojan (RAT), comprometendo o sistema.
A representação acima mostra uma tentativa de golpe através do agente da Tesla, que, ao se passar por um pedido de reembolso semelhante a uma reserva feita no site da Booking. com, pede ao destinatário que abra o PDF anexado para visualizar o extrato do cartão e, assim, consegue invadir e emprestar dados, senhas e um conjunto de credenciais para obter informações confidenciais.
Nesse caso, a Forcepoint conhece duas estratégias diferentes para baixar a carga útil da próxima etapa: uma mensagem pop-up falsa solicitando a interação do usuário e o URL da ação. Após abrir o PDF, uma mensagem pop-up simulada solicita que você ative o conteúdo para visualizar o extrato do cartão. Ao clicar na mensagem, o download da carga do malware começa sem o conhecimento da vítima.
O PDF é um link malicioso disfarçado de link para o site Booking. com. Ao clicar no link, a vítima é redirecionada para uma página online falsa que simula a Booking. com página de login. Ao inserir suas credenciais de login, a vítima as fornece aos criminosos, que podem usá-las para acessar contas online e emprestar dados confidenciais.
Como identificar e se proteger do Agent Tesla e de cibercrimes semelhantes:
Exemplos de remetentes falsificados incluem:
Exemplos de URLs mal-intencionados coletados: