Key4biz

Agent Tesla, una nuova campagna malspam interessa l’Italia

Una nuova campagna malspam italiana che, sfruttando alcune caselle di posta elettronica compromesse, veicola il RAT Agent Tesla inviando allegati con estensione .xlsm è stata individuata dal CSIRT questa settimana.

Il Remote Access Trojan Agent Tesla

Agent Tesla nato come semplice keylogger e infostealer, nel tempo ha assunto i connotati di un potente RAT per il controllo completo da remoto del target, aggiungendo ulteriori capacità spyware in grado di carpire oltre che impostazioni e account wifi anche credenziali di client di posta elettronica, VPN e browser, enumerando file di log, di registro e di configurazione e instaurando dei canali di comunicazione con centraline di comando per mezzo di protocolli standard e legittimi quali HTTP, SMTP e FTP.  

Attraverso il phishing e cambiando opportunamente il tema delle campagne malspam e le tecniche di evasione, i criminal hacker sono riusciti a diffondere nel corso del tempo diverse varianti del codice Agent Tesla. Per esempio alcune di esse, al fine di eludere i sistemi di sicurezza con metodi di anti-rilevamento, non sono state iniettate direttamente nell’allegato e-mail (che in tal caso avvia solo la catena infettiva) ma fatte scaricare in stadi successivi attraverso binari eseguibili o addirittura inoculate in applicativi vulnerabili già presenti sulle macchine target.

L’ultima campagna malspam Italiana

La recente analisi condotta dal CSIRT parla di una campagna malspam che invia e-mail da caselle di posta compromesse a enti pubblici e società private italiani, in cui il messaggio, riportante loghi e nominativi reali, invita il destinatario ad aprire come allegato un file .xlsm ovvero un foglio di calcolo excel abilitato per le macro (“Ordine numero O45202020********.xlsm”, MD5: 1c6acfad45e467f2f2ca0807856c9102) facente riferimento ad un ipotetico ordine effettuato presso un’azienda tecnica specializzata. In realtà la macro excel, una volta abilitata dall’utente, avvia la catena d’infezione malevola con un processo deputato a reperire alcune informazioni di sistema e quindi a avviare, in seconda istanza, uno script PowerShell per scaricare un binario eseguibile (btl.exe, MD5: a216c284ec62f79239204d358030b247) dall’indirizzo http://95.214.8[.]54.

Le passate campagne malevoli rilevate

Questa è solo l’ultima di una serie di campagne veicolanti il malware Agent Tesla e che hanno interessato società e utenze italiane negli ultimi mesi. Di seguito un elenco di alcuni alert segnalati dal CSIRT anche con ulteriori e puntuali aggiornamenti per evento.

Le azioni di difesa consigliate

Agent Tesla un RAT in continua evoluzione e periodicamente aggiornato dai suoi sviluppatori sempre con nuove funzionalità, attestandosi nel primo semestre 2020 in testa alle classifiche dei malware più diffusi, rappresenta, di fatto, una reale minaccia che propinata principalmente, come visto, attraverso una mescolanza di tecniche di social engineering e phishing deve essere a tutti i costi contrastata.

Risulta, pertanto, fondamentale adottare come misure di difesa non solo accorgimenti hardware/software ma anche azioni fondate sulla security awareness dell’elemento umano e atte a sensibilizzare l’utente a non ritenere, sbagliando, che una frode o una truffa non possa concretizzarsi anche per il tramite di strumenti spesso ritenuti puramente virtuali, privi di trabocchetti e scollegati dal mondo reale.

A tal proposito valgono le seguenti e utili raccomandazioni aziendali:

Exit mobile version