AgentTesla, campagna attiva prende di mira l’Italia

Il CERT-AgID ha segnalato una campagna attiva e già osservata in Italia.

La campagna sarebbe stata rilevata da fonti OSINT e utilizzerebbe il tema documenti per veicolare una e-mail facente riferimento ad un ordine in allegato. L’allegato conterrebbe l’eseguibile che avvia l’infezione AgentTesla (drop URL localizzato in Romania).

AgentTesla è un malware sviluppato con il framework .Net e progettato per rubare le credenziali degli utenti. Apparso per la prima volta nel 2014, è in grado di acquisire sequenze di tasti, rubare e-mail, credenziali browser e screenshot, quindi di trasmettere le informazioni rubate al server di comando e controllo. In questa campagna tutti i dati rubati vengono esfiltrati tramite un server C2 SMTP localizzato a Singapore.

Essendo l’e-mail uno dei principali canali di diffusione di AgentTesla, si raccomanda agli utenti di:

  • Mantenere sempre aggiornati sistema, software e antivirus
  • Non aprire file sconosciuti, pagine Web ed e-mail
  • Confermare la legittimità del mittente e il contenuto dell’e-mail prima di aprire gli allegati e i collegamenti nell’e-mail
  • Controllare l’estensione dei file per evitare di essere ingannati dal nome dei file
  • Impostare, quando possibile, l’autenticazione 2FA per migliorare la sicurezza dell’account
  • Utilizzare gli strumenti di gestione delle password per gestire le password

IoC CERT-AgID

https://cert-agid.gov.it/wp-content/uploads/2023/04/agenttesla_ordine_24-04-2023.json_.txt

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.