CERT Polska ostrzega przed nową, groźną kampanią e-mailową, której celem jest dystrybucja złośliwego oprogramowania AgentTesla. Cyberprzestępcy, podszywając się pod standardową korespondencję biznesową, nakłaniają odbiorców do otwarcia zainfekowanych załączników, co może prowadzić do kradzieży loginów, haseł i innych wrażliwych danych z komputera.
W ostatnich dniach maja 2026 roku zaobserwowano wzmożoną aktywność cyberprzestępców wykorzystujących typowy scenariusz biznesowy do infekowania komputerów. Wysyłane przez nich wiadomości e-mail zawierają prośbę o pilne podpisanie i opieczętowanie rzekomego dokumentu. Taka forma ataku ma na celu uśpienie czujności odbiorcy, ponieważ w środowisku firmowym prośby o akceptację czy uzupełnienie dokumentacji są na porządku dziennym.
Do wiadomości dołączany jest załącznik, najczęściej w postaci archiwum z rozszerzeniem .tar. Wewnątrz ukryty jest plik wykonywalny, który po uruchomieniu instaluje w systemie złośliwe oprogramowanie z rodziny AgentTesla. Socjotechnika oparta na pośpiechu i zaufaniu do standardowych procedur biurowych sprawia, że atak ten może być wyjątkowo skuteczny.
AgentTesla to zaawansowany trojan zdalnego dostępu (Remote Access Trojan, RAT), którego głównym zadaniem jest infiltracja systemu i kradzież poufnych informacji. Po zainstalowaniu na komputerze ofiary, oprogramowanie działa w ukryciu, zbierając cenne dane.
Jego kluczowe funkcje to:
W przeszłości przestępcy podszywali się m.in. pod firmę Prosperplast, wysyłając fałszywe listy zamówień. Obecna kampania jest kolejną odsłoną tego samego zagrożenia.
Rozpoznanie fałszywej wiadomości jest kluczowe dla zachowania bezpieczeństwa. Nawet w pośpiechu warto zwrócić uwagę na kilka sygnałów ostrzegawczych. Należą do nich przede wszystkim podejrzane załączniki. Oszuści często używają plików z rozszerzeniem .EXE, licząc, że użytkownik go nie zauważy i uruchomi szkodliwy program.
W pośpiechu użytkownik może nie zauważyć, że załącznik ma rozszerzenie .EXE lub że wiadomość pochodzi z podejrzanej domeny, co znacząco zwiększa ryzyko kliknięcia i uruchomienia złośliwego oprogramowania.
Należy również dokładnie weryfikować adres e-mail nadawcy. Wiadomości rozsyłające AgentTesla często pochodzą z nietypowych, zagranicznych domen, na przykład rumuńskich, które jedynie udają adresy prawdziwych firm.
Aby uchronić się przed infekcją, należy stosować podstawowe zasady cyberhigieny. Przede wszystkim trzeba zachować szczególną ostrożność przy otwieraniu załączników, zwłaszcza tych nieoczekiwanych lub pochodzących od nieznanych nadawców. Zawsze warto zweryfikować tożsamość nadawcy, np. telefonicznie, jeśli wiadomość budzi jakiekolwiek wątpliwości.
Kolejnym krokiem jest posiadanie aktualnego oprogramowania antywirusowego oraz narzędzi wykrywających phishing. W przypadku otrzymania podejrzanego e-maila, specjaliści z CERT Orange Polska radzą, aby go nie usuwać, lecz zapisać jako plik (np. przeciągając na pulpit lub używając opcji „zapisz jako”), a następnie zgłosić incydent do odpowiednich służb.
Mikołaj Rogalewicz, „Pilny mail z dokumentem? CERT Polska ostrzega przed groźną kampanią”, CyberDefence24, 2026. https://cyberdefence24.pl/cyberbezpieczenstwo/cyberataki/pilny-mail-z-dokumentem-cert-polska-ostrzega-przed-grozna-kampania
„Agent Tesla znów w mailach Polaków!”, CERT Orange Polska. https://cert.orange.pl/aktualnosci/agent-tesla-znow-w-mailach-polakow/
„Agent Tesla to podstępny trojan, który z łatwością opróżni Twoje konto bankowe”, Android.com.pl. https://android.com.pl/tech/663362-agent-tesla-trojan-skrzynki-mailowe/
„Agent Tesla w pliku .exe. Uwaga na załączniki”, dobreprogramy.pl. https://www.dobreprogramy.pl/agent-tesla-w-pliku-exe-uwaga-na-zalaczniki,7080486388148800a
„Trojan Agent Tesla – czym jest i jak się przed nim chronić?”, Polityka Bezpieczeństwa. https://www.politykabezpieczenstwa.pl/pl/a/trojan-agen-tesla-czym-jest
