Malwarebytes entlarvt nigerianische Betrüger-Gruppe rund um Agent Tesla

Bei der Suche nach auf die Ukraine abzielenden Bedrohungen hat Malwarebytes eine neue Scammer-Gruppe identifiziert, die sich seit einigen Jahren intensiv mit Phishing und anderen Formen des Datendiebstahls beschäftigt.

San Francisco, Kalifornien, 06.05.2022 /

Der Datendieb „Agent Tesla“ ist ein seit 2014 aktives Remote Access Tool (RAT) und gehört mittlerweile zu den wahrscheinlich beliebtesten Schaddateien, die in E-Mail-Spam-Kampagnen beobachtet werden können. Bei der Suche nach auf die Ukraine abzielende Bedrohungen konnte Malwarebytes eine neue Gruppe identifizieren, die sich seit einigen Jahren intensiv mit Phishing und anderen Formen des Datendiebstahls beschäftigt. Die Ironie dahinter: Einer der Hauptbedrohungsakteure hatte auch seinen eigenen Computer mit einer Agent-Tesla-Binärdatei infiziert.

Die Aktivitäten des Scammers starteten vor einigen Jahren mit klassischen Vorschussbetrügen (419-Betrug). Inzwischen führt der Betrüger erfolgreich Agent-Tesla-Kampagnen durch. In den vergangenen zwei Jahren konnte er auf diese Weise fast eine Million Anmeldedaten von seinen Opfern stehlen.

E-Mail-Kampagne mit Agent Tesla: Ukrainische E-Mail führt Malwarebytes auf Spur des Scammers

Die Nachforschungen des Malwarebytes Threat Intelligence Teams begannen mit einer E-Mail mit dem ukrainischen Titel Остаточний платіж.msg, was als Abschlusszahlung.msg übersetzt werden kann. Die E-Mail enthielt einen Link zu einer File-Sharing-Website, die ein Archiv mit einer Programmdatei herunterlädt – und das Threat Intelligence Team damit auf die Spur des Scammers brachte.

Bei der ausführbaren Datei handelt es sich in Wirklichkeit um einen bösartigen Agent Tesla Stealer. Dieser ist in der Lage, Daten auf verschiedene Weise zu exfiltrieren. Die Technik dahinter ist ganz einfach: Sie erfordert ausschließlich ein E-Mail-Konto, das Nachrichten mit den gestohlenen Anmeldedaten eines jeden Opfers an sich selbst sendet.

Test-Nachrichten verraten IP-Adresse des Angreifers

Der Angreifer schickte eine Reihe von Nachrichten mit dem Inhalt „Test erfolgreich!“ von demselben Account. Es ist bekannt, dass Angreifer mit solchen Nachrichten generell prüfen, ob die Kommunikation mit Agent Tesla richtig konfiguriert ist. Die E-Mails hätten im Anschluss jedoch aus offensichtlichen Gründen gelöscht werden müssen. Der Bedrohungsakteur tat das in diesem Fall jedoch nicht. Damit gab er seine eigene IP-Adresse preis und Malwarebytes konnte die Adresse in Lagos, Nigeria, lokalisieren. Der entdeckten Scammer-Gruppe gab Malwarebytes daher den Namen „Nigerian Tesla“.

Von derselben IP-Adresse wurden weitere 26 E-Mails verschickt, die keine Test-E-Mails waren, sondern von einer echten Agent-Tesla-Ausführung stammten. Damit hat es der Angreifer geschafft, auch seinen eigenen Rechner zu infizieren.

Angreifer agiert mit verschiedenen Namen und E-Mail-Konten

Bei seinen Phishing- und Datendiebstahlsoperationen hat der Angreifer in der Vergangenheit zum Beispiel die Namen Rita Bent, Lee Chen und John Cooper zusammen mit über 25 verschiedenen E-Mail-Konten und Passwörtern, die die Zeichenfolge „1985“ enthalten, verwendet. Anhand der Vielzahl an Profilen lässt sich erkennen, dass der Bedrohungsakteur eine umfangreiche Laufbahn hinter sich hat, die mindestens im Jahr 2014 begann. Damals führte er klassische Betrugsversuche unter dem Namen Rita Bent durch.

Eine weitere, von der Gruppe bevorzugte Betrugsmasche war das Phishing unter dem Deckmantel von Adobe-Anmeldeseiten. Den Sicherheitsforscher:innen von Malwarebytes liegen Aufzeichnungen mehrerer gefälschter Landing Pages von Adobe vor, die von 2015 bis vor Kurzem eingesetzt wurden.

Doch wer steckt hinter den Daten-Angriffen?

Hinter der in Nigeria lokalisierten IP-Adresse steckt ein Mann namens E.K. Dieser Bedrohungsakteur teilte im Jahr 2016 tatsächlich noch Fotos von sich selbst. Zudem konnte ein Foto seines Führerscheins aufgespürt werden. Aus diesem geht hervor, dass er 1985 geboren wurde. So fügt sich letztlich das Bild: Das Geburtsjahr 1985 wurde in vielen Passwörtern der E-Mail-Accounts verwendet, von denen aus die illegalen Aktivitäten durchgeführt wurden.

Aktuell liegen kaum Informationen über die anderen Mitglieder der Scammer-Gruppe vor. E. K. scheint jedoch die wichtigste Rolle zu haben und zumindest derjenige zu sein, der „Nigerian Tesla“ ursprünglich ins Leben gerufen hat.

„Nigerian Tesla“ hat insgesamt mehr als 800.000 verschiedene Zugangsdaten von etwa 28.000 Opfern gestohlen. Dies zeigt, wie einfach und dennoch effektiv diese Art von Kampagnen sein können. Der Fall von E.K. zeigt zudem eine interessante Entwicklung eines Bedrohungsakteurs, der den klassischen Vorschussbetrug (419-Betrug) durchführte, bevor er schließlich in die Welt der Malware-Verteilung wechselte.

Malwarebytes-User sind vor Agent Tesla geschützt. Malwarebytes erkennt die Malware als Spyware.Password.Stealer.

Weitere Informationen zur Gruppe „Nigerian Tesla“ finden Sie hier im Blogbeitrag von Malwarebytes.

Jetzt teilen:

Über Malwarebytes

Malwarebytes ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit und bietet preisgekrönte Lösungen für Endgeräteschutz, Datenschutz und Bedrohungsabwehr. Heute vertrauen Millionen von Privatanwendern und Unternehmen auf die jahrzehntelange Erfahrung von Malwarebytes, wenn es darum geht, Bedrohungen in jeder Phase des Angriffszyklus zu stoppen, digitale Identitäten zu schützen oder den Schutz von Daten und Privatsphäre zu gewährleisten. Ein erstklassiges Team von Bedrohungsforschern und firmeneigene, KI-basierte Engines liefern wertvolle Daten, um sowohl bekannte als auch unbekannte Bedrohungen zu erkennen und zu beseitigen. Das Unternehmen hat seinen Hauptsitz in Kalifornien und verfügt über Niederlassungen in Europa und Asien. Weitere Informationen finden Sie unter  de.malwarebytes.com.

 

Malwarebytes auf:

Pressekontakt Malwarebytes

Malwarebytes
3979 Freedom Circle, 12th Floor
Santa Clara, CA 95054
USA

Dara Sklar
Head of Content & Communications
Email: press@malwarebytes.com
Web: www.malwarebytes.com

Kontakt PR-Agentur

Schwartz Public Relations GmbH
Sendlinger Straße 42A
D-80331 München

Team Malwarebytes
E-Mail: malwarebytes@schwartzpr.de

Daniela Palatzky
Tel.: +49 (0) 89 211 871 71
E-Mail: dp@schwartzpr.de

Florian Stark
Tel.: +49 (0) 89 211 871 66
E-Mail: fs@schwartzpr.de

Sven Kersten-Reichherzer
Tel.: +49 (0) 89 211871-36
E-Mail: sk@schwartzpr.de

Downloads

Klicken Sie auf ein Bild, um eine große Version des Bildes anzuzeigen (und dann Download per Rechtsklick).

    Weitere Beiträge
    des Kunden