Der Datendieb „Agent Tesla“ ist ein seit 2014 aktives Remote Access Tool (RAT) und gehört mittlerweile zu den wahrscheinlich beliebtesten Schaddateien, die in E-Mail-Spam-Kampagnen beobachtet werden können. Bei der Suche nach auf die Ukraine abzielende Bedrohungen konnte Malwarebytes eine neue Gruppe identifizieren, die sich seit einigen Jahren intensiv mit Phishing und anderen Formen des Datendiebstahls beschäftigt. Die Ironie dahinter: Einer der Hauptbedrohungsakteure hatte auch seinen eigenen Computer mit einer Agent-Tesla-Binärdatei infiziert.
Die Aktivitäten des Scammers starteten vor einigen Jahren mit klassischen Vorschussbetrügen (419-Betrug). Inzwischen führt der Betrüger erfolgreich Agent-Tesla-Kampagnen durch. In den vergangenen zwei Jahren konnte er auf diese Weise fast eine Million Anmeldedaten von seinen Opfern stehlen.
E-Mail-Kampagne mit Agent Tesla: Ukrainische E-Mail führt Malwarebytes auf Spur des Scammers
Die Nachforschungen des Malwarebytes Threat Intelligence Teams begannen mit einer E-Mail mit dem ukrainischen Titel Остаточний платіж.msg, was als Abschlusszahlung.msg übersetzt werden kann. Die E-Mail enthielt einen Link zu einer File-Sharing-Website, die ein Archiv mit einer Programmdatei herunterlädt – und das Threat Intelligence Team damit auf die Spur des Scammers brachte.
Bei der ausführbaren Datei handelt es sich in Wirklichkeit um einen bösartigen Agent Tesla Stealer. Dieser ist in der Lage, Daten auf verschiedene Weise zu exfiltrieren. Die Technik dahinter ist ganz einfach: Sie erfordert ausschließlich ein E-Mail-Konto, das Nachrichten mit den gestohlenen Anmeldedaten eines jeden Opfers an sich selbst sendet.
Test-Nachrichten verraten IP-Adresse des Angreifers
Der Angreifer schickte eine Reihe von Nachrichten mit dem Inhalt „Test erfolgreich!“ von demselben Account. Es ist bekannt, dass Angreifer mit solchen Nachrichten generell prüfen, ob die Kommunikation mit Agent Tesla richtig konfiguriert ist. Die E-Mails hätten im Anschluss jedoch aus offensichtlichen Gründen gelöscht werden müssen. Der Bedrohungsakteur tat das in diesem Fall jedoch nicht. Damit gab er seine eigene IP-Adresse preis und Malwarebytes konnte die Adresse in Lagos, Nigeria, lokalisieren. Der entdeckten Scammer-Gruppe gab Malwarebytes daher den Namen „Nigerian Tesla“.
Von derselben IP-Adresse wurden weitere 26 E-Mails verschickt, die keine Test-E-Mails waren, sondern von einer echten Agent-Tesla-Ausführung stammten. Damit hat es der Angreifer geschafft, auch seinen eigenen Rechner zu infizieren.
Angreifer agiert mit verschiedenen Namen und E-Mail-Konten
Bei seinen Phishing- und Datendiebstahlsoperationen hat der Angreifer in der Vergangenheit zum Beispiel die Namen Rita Bent, Lee Chen und John Cooper zusammen mit über 25 verschiedenen E-Mail-Konten und Passwörtern, die die Zeichenfolge „1985“ enthalten, verwendet. Anhand der Vielzahl an Profilen lässt sich erkennen, dass der Bedrohungsakteur eine umfangreiche Laufbahn hinter sich hat, die mindestens im Jahr 2014 begann. Damals führte er klassische Betrugsversuche unter dem Namen Rita Bent durch.
Eine weitere, von der Gruppe bevorzugte Betrugsmasche war das Phishing unter dem Deckmantel von Adobe-Anmeldeseiten. Den Sicherheitsforscher:innen von Malwarebytes liegen Aufzeichnungen mehrerer gefälschter Landing Pages von Adobe vor, die von 2015 bis vor Kurzem eingesetzt wurden.
Doch wer steckt hinter den Daten-Angriffen?
Hinter der in Nigeria lokalisierten IP-Adresse steckt ein Mann namens E.K. Dieser Bedrohungsakteur teilte im Jahr 2016 tatsächlich noch Fotos von sich selbst. Zudem konnte ein Foto seines Führerscheins aufgespürt werden. Aus diesem geht hervor, dass er 1985 geboren wurde. So fügt sich letztlich das Bild: Das Geburtsjahr 1985 wurde in vielen Passwörtern der E-Mail-Accounts verwendet, von denen aus die illegalen Aktivitäten durchgeführt wurden.
Aktuell liegen kaum Informationen über die anderen Mitglieder der Scammer-Gruppe vor. E. K. scheint jedoch die wichtigste Rolle zu haben und zumindest derjenige zu sein, der „Nigerian Tesla“ ursprünglich ins Leben gerufen hat.
„Nigerian Tesla“ hat insgesamt mehr als 800.000 verschiedene Zugangsdaten von etwa 28.000 Opfern gestohlen. Dies zeigt, wie einfach und dennoch effektiv diese Art von Kampagnen sein können. Der Fall von E.K. zeigt zudem eine interessante Entwicklung eines Bedrohungsakteurs, der den klassischen Vorschussbetrug (419-Betrug) durchführte, bevor er schließlich in die Welt der Malware-Verteilung wechselte.
Malwarebytes-User sind vor Agent Tesla geschützt. Malwarebytes erkennt die Malware als Spyware.Password.Stealer.
Weitere Informationen zur Gruppe „Nigerian Tesla“ finden Sie hier im Blogbeitrag von Malwarebytes.
