Il CERT-AgID ha segnalato una campagna attiva e già osservata in Italia.
La campagna sarebbe stata rilevata da fonti OSINT e utilizzerebbe il tema documenti per veicolare una e-mail facente riferimento ad un ordine in allegato. L’allegato conterrebbe l’eseguibile che avvia l’infezione AgentTesla (drop URL localizzato in Romania).
AgentTesla è un malware sviluppato con il framework .Net e progettato per rubare le credenziali degli utenti. Apparso per la prima volta nel 2014, è in grado di acquisire sequenze di tasti, rubare e-mail, credenziali browser e screenshot, quindi di trasmettere le informazioni rubate al server di comando e controllo. In questa campagna tutti i dati rubati vengono esfiltrati tramite un server C2 SMTP localizzato a Singapore.
Essendo l’e-mail uno dei principali canali di diffusione di AgentTesla, si raccomanda agli utenti di:
- Mantenere sempre aggiornati sistema, software e antivirus
- Non aprire file sconosciuti, pagine Web ed e-mail
- Confermare la legittimità del mittente e il contenuto dell’e-mail prima di aprire gli allegati e i collegamenti nell’e-mail
- Controllare l’estensione dei file per evitare di essere ingannati dal nome dei file
- Impostare, quando possibile, l’autenticazione 2FA per migliorare la sicurezza dell’account
- Utilizzare gli strumenti di gestione delle password per gestire le password
IoC CERT-AgID
https://cert-agid.gov.it/wp-content/uploads/2023/04/agenttesla_ordine_24-04-2023.json_.txt