مرسلو البريد غير المرغوب فيه يستخدمون أداة السرقة Agent Tesla في حملات موجّهة
كشفت كاسبرسكي عن حملة غير عادية من حملات البريد الإلكتروني غير مرغوب فيه استهدفت مؤسسات في جميع أنحاء العالم. وحاكت الرسائل التي وظفتها الحملة رسائل البريد الإلكتروني الواردة من الموردين أو أصحاب المصلحة، فيما حاول المهاجمون سرقة بيانات تسجيل الدخول من المؤسسات المستهدفة باستخدام أداة السرقة الرقمية سيئة السمعة Tesla stealer. وقد تُعرض بيانات الاعتماد المسروقة للبيع في منتديات الويب المظلم أو تُستخدم في الهجمات الموجهة ضد هذه المؤسسات.
ويستثمر مجرمو الإنترنت جهودهم اليوم في حملات جماعية للبريد غير المرغوب فيه، ويقدّم تحقيق أجرته حديثاً كاسبرسكي، دليلاً واضحاً على ذلك. فقد تضمنت حملة البريد الإلكتروني غير المرغوب فيه التي كشفت عنها الشركة، والتي تستهدف مؤسسات مختلفة، رسائل تقلّد بطريقة متقنة الاستفسارات التجارية الواردة من شركات معروفة. كذلك، استخدم المهاجمون البرمجية الخبيثة Agent Tesla Stealer، التي تُعدّ تروجانًا يُستخدم في التجسس، مصمماً لسرقة بيانات اعتماد الدخول إلى الحسابات، والحصول على لقطات للشاشة والتقاط البيانات من كاميرات الويب ولوحات المفاتيح. وتوزّع الحملة هذه البرمجية باعتبارها “أرشيف استخراج ذاتي” مرفق برسائل البريد الإلكتروني المفخخة.
ويستخدم شخص يتظاهر بأنه عميل ماليزي محتمل، في مثال على رسائل هذه الحملة، مجموعة غريبة من الكلمات الإنجليزية ليطلب من المستلم مراجعة بعض متطلبات العملاء وموافاته بالمستندات المطلوبة. ويتوافق التنسيق العام للرسالة مع معايير مراسلات الشركات؛ فهناك شعار لشركة حقيقية وتوقيع يتميز بتفاصيل المرسل. بشكل عام، يبدو الطلب رسمياً وصادقاً، في حين أن الأخطاء اللغوية يمكن أن تُعزا بسهولة إلى أن المرسل ليس من الناطقين بالإنجليزية.
رسالة البريد الإلكتروني الواردة من “العميل الماليزي المحتمل” والمشتملة على ملف مرفق خبيث
لكن الشيء الوحيد المثير للشبهة في البريد الإلكتروني كان عنوان البريد الإلكتروني للمرسل، والذي يبدأ بكلمة newsletter، التي تعني “رسالة إخبارية”، ما يجعله عنواناً لا يصلح لمراسلات تتعلق بالمشتريات. كذلك، يختلف اسم النطاق للمرسل عن اسم الشركة في الشعار.
في بريد إلكتروني آخر، يجري عميل بلغاري مزعوم استفساراً حول توفر بعض المنتجات والعروض لمناقشة تفاصيل الصفقة، زاعماً أن قائمة المنتجات المطلوبة موجودة في المرفق، كما في العينة السابقة. وينتمي عنوان المرسل، المثير بدوره للشبهة، إلى نطاق يوناني لا بلغاري، ويبدو بوضوح أنه لا علاقة له باسم الشركة التي يستخدم مرسلو الرسائل اسمها.
البريد الإلكتروني الوارد من “العميل البلغاري”، مع مرفق خبيث
ويتضح أن الرسائل أرسلت من مجموعة محدودة من عناوين بروتوكول الإنترنت، واحتوت مرفقاتها على البرمجية الخبيثة نفسها، Agent Tesla، ما جعل الباحثين يرون أن كل هذه الرسائل كانت جزءاً من حملة واحدة موجّهة.
وأكّد رومان ديدينوك خبير الأمن لدى كاسبرسكي، أن Agent Tesla أداة شائعة للسرقة، وغالباً ما تستخدم للحصول من المؤسسات التي تصيبها على بيانات اعتماد الدخول وكلمات المرور إلى مختلف الحسابات المؤسسية، مشيراً إلى أنها معروفة منذ العام 2014، وأن مرسلو الرسائل غير المرغوب فيها يحرصون على نشرها على نطاق واسع في الهجمات الجماعية. وقال: “اعتمد مجرمو الإنترنت في هذه الحملة بالتحديد على الأساليب النموذجية المتبعة في الهجمات الموجهة، فقد حرصوا على تصميم رسائل البريد الإلكتروني المرسلة خصيصاً إلى شركة ما بطريقة تجعلها بالكاد تختلف عن تلك الرسائل الرسمية”.
هذا، وتكتشف منتجات كاسبرسكي أداة السرقة Agent Tesla بالاسم Trojan-PSW.MSIL.Agensla.