Eset upozorňuje na agresívnu phishingovú kampaň, ktorá útočí na klientov viacerých slovenských bánk. Obsahuje pritom extrémne škodlivý malvér známy ako AgentTesla. 

Ten dokáže útočníkom získať vzdialený prístup k tvojmu infikovanému mobilu a ukradnúť tak z neho citlivé informácie.

Celý svet, avšak cielia aj na Slovákov

Eset útoky registruje na celom svete, potvrdené sú však aj phishingové e-maily imitujúce komunikáciu VÚB banky, Tatra banky a Slovenskej sporiteľne.

Z podrobnejších informácií však vyplýva, že by ho malo byť možné pomerne jednoducho identifikovať. Nakoniec, posúď sám: E-maily majú prichádzať z adresy „ccmw@railway.gov.bd“, ktorej doména pripomína vládnu organizáciu v Bangladéši.

Ide o podvod simulujúci urgentnú informáciu o prijatej platbe s predmetom „URGENT: Kópia avíza o došlej platbe.“.

Platí tradičné „pozor na prílohy“

Napadnutí používatelia dostanú e-mail s prílohou pripomínajúcou bankový dokument. Názvy ako „payment_copy_tatra_banka.pdf.exe“ alebo „payment_copy_vub_bank.pdf.exe“ ale ukazujú na škodlivé spustiteľné prílohy .exe alebo .iso.

Útočníci však využívajú trik, kedy niektorí e-mailoví klienti používateľovi na displeji zobrazujú iba prvú, zdanlivo neškodnú koncovku označujúcu PDF dokument. Operačný systém navyše podľa nej aj často nastaví ikonu prislúchajúcu programu, ktorým PDF-ká zvyčajne otváraš.

Otvorenie falošnej prílohy ale spúšťa downloader, ktorý telefón skúša pripojiť na web so škodlivým obsahom. Až ten sťahuje a spúšťa spyware AgentTesla.

„Tento škodlivý kód slúži na krádež informácií, čomu zodpovedajú aj jeho funkcie, keďže sa zameriava na zber prihlasovacích údajov, sledovanie stlačení klávesnice (keylogging) či vyhotovovanie snímok obrazovky obete,“ informuje ESET.

„Ide o veľmi populárnu rodinu škodlivého kódu najmä preto, že si ho aj menej skúsený útočník dokáže kúpiť online a následne jednoducho použiť pri útoku. To, že sa snaží napodobniť emaily od viacerých slovenských, ale aj iných zahraničných bánk, nie je žiadnou novinkou. Ide o jeho bežný modus operandi. Často pritom na svoje šírenie zneužíva legitímne e-mailové adresy, ku ktorým získal prístup pri predchádzajúcich útokoch,“ vysvetľuje Ondrej Kubovič, expert na IT bezpečnosť spoločnosti ESET.

Škodlivý kód AgentTesla je v obehu už roky, útočníci ho ale postupne obmieňajú a obohacujú o nové funkcie. Aj preto ho často nedokážu filtrovať antivírusové softvéry.