Spoločnosť ESET odhalila a zablokovala rozsiahlu phishingovú kampaň, ktorá cielila na slovenských používateľov. Tisícky adresátov obdržali e-mail s výzvou na podpis priloženej zmluvy. Súbor v skutočnosti skrýval malvér CloudEyE, ktorého cieľom bolo pravdepodobne zariadenia obetí nainfikovať nebezpečným škodlivým kódom Agent Tesla.
Phishing skrývajúci malvér
Detekčné systémy spoločnosti ESET odhalili rozsiahlu phishingovú kampaň v priebehu januára. Pokus o útok zablokovali na tisíckach zariadení. Podobné kampane ESET zaznamenal aj v Česku, Poľsku, Rumunsku, Grécku a Chorvátsku.
E-mailové správy boli odoslané pravdepodobne z hacknutej domény. Správa vyzývala adresátov na stiahnutie zmluvy: „Dobré ráno, návrh zmluvy je priložený. Prosím, vráťte ho s podpisom a pečiatkou.“ V prílohe bol priložený dokument, ktorý mal obsahovať zmluvu. Z kontextu e-mailu je pravdepodobné, že útočníci cielili na používateľov vo firmách.
Obrázok: screenshot phishingového e-mailu
„Vzhľadom na dnešné možnosti ide o veľmi jednoduchý pokus o phishing. Vidieť, že útočníci si s prípravou podvodnej správy nedali veľkú námahu a spoľahli sa najmä na široký zásah recipientov. Ak by ale danú správu vložili do už existujúcej konverzácie, kde už bežne obe strany nevkladajú formálne podpisy, logá, či iné náležitosti, šanca na úspešný útok by sa výrazne zvýšila,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET.
Zákerný malvér slúžiaci na kamufláž
Zaujímavejší bol však útok z hľadiska použitého škodlivého kódu, ktorý sa skrýval v prílohe e-mailu. Analýza výskumníkov spoločnosti ESET ukázala, že ide o aktuálne rozšírený malvér CloudEyE – downloader a cryptor ponúkaný ako malvér ako služba (malware-as-a-service). Úlohou tohto nástroja je zamaskovať škodlivý kód použitý v konečnej fáze útoku (final payload), napríklad na krádež informácií či šifrovanie údajov.
Pre CloudEyE je typický viacstupňový postup a v úvodnej fáze sa často šíri cez skripty, napríklad PowerShell alebo JavaScript, pričom jednotlivé kroky bývajú dôsledne zakamuflované. V zachytenej kampani bola príloha maskovaná ako archív s názvom 2026-13-01-0273.tar, pričom po otvorení viedla k súboru 2026-13-01-0273.js.
Na základe podobnosti s kampaňami, ktoré rovnaký útočník uskutočnil v rovnaký čas v iných krajinách, je vysoká pravdepodobnosť, že išlo o snahu šíriť malvér Agent Tesla. Tento škodlivý kód je určený na krádež širokej palety dát. V ESET telemetrii pravidelne zaznamenávame útoky s využitím Agenta Tesla, a to aj napriek tomu, že pôvodní developeri už tento škodlivý kód ďalej nevyvíjajú a šíria sa už iba staré verzie.
ESET pokus o útok zablokoval na zariadeniach, ktoré sú chránené jeho bezpečnostným softvérom. Ak obeť nepoužíva spoľahlivú ochranu, dôrazne odporúčame jej nasadenie, pretože opakovanie podobného scenára je len otázkou času. Útočníci pritom môžu obsah phishingového e-mailu upraviť tak, aby bol pre obete omnoho presvedčivejší.
Ako sa chrániť?
Pre minimalizovanie pravdepodobnosti úspešného útoku odporúčame firmám:
- overovať odosielateľa aj pri dôveryhodne pôsobiacich doménach,
- blokovať alebo obmedziť spustiteľné skriptové prílohy (napríklad .js/.vbs) už na e-mailovej bráne a povoľovať ich len výnimočne,
- používať viacvrstvovú ochranu koncových zariadení a e-mailovej komunikácie,
- a priebežne školiť zamestnancov na rozpoznávanie sociálneho inžinierstva.
