Nei primi giorni della scorsa settimana, il CERT-AGID ha rilevato una campagna malware il cui meccanismo di attivazione si è rivelato difettoso. Infatti le sandbox identificavano la minaccia come tale ma a causa di questo difetto non potevano determinare il nome della famiglia di appartenenza. Dopo un attacco fallito, la campagna è comunque tornata con un loader aggiornato e nuove tecniche di cifratura. Gli autori della campagna hanno rivisto la loro strategia, ripetendo l’attacco con un malware che questa volta funzionava correttamente.
Sebbene sia noto che Agent Tesla cambi loader con una certa frequenza e solitamente utilizzi codice memorizzato nelle risorse, questa volta è stato osservato un nuovo metodo che impiega tecniche di cifratura avanzate per caricare il payload direttamente in memoria, rendendo più difficile la sua rilevazione e analisi.
Il Cert-AgiD ha rilasciato il seguente rapporto dettagliato sul caso:
Questo dimostra che anche i criminali informatici possono commettere errori significativi, che fortunatamente possono ridurre l’impatto delle loro azioni dannose.
Gli errori possono derivare da vari fattori, come la distrazione degli autori o la complessità nell’integrazione di strumenti acquistati come MaaS (Malware as a Service). Questi errori possono rendere inefficaci i tentativi di compromissione, con malware che non riescono a infettare i dispositivi delle vittime.