AgentTesla un trojan basato su .NET facilmente disponibile per gli attori a causa dei builder trapelati, è un malware in grado di registrare sequenze di tasti e carpire credenziali o altre informazioni preziose inviando il tutto ai propri server C2 tramite HTTP, SMTP, FTP o verso un canale Telegram.
Proprio in queste ore Il CERT-AgID sta allertando PA e privati riguardo una massiva campagna malspam che sta distribuendo il malware AgentTesla utilizzando una tecnica di evasione impiegata per la prima volta nelle campagne italiane.
La catena d’attacco
Il tutto avrebbe inizio con una e-mail con allegato una presunta fattura emessa da “booking.com” la nota piattaforma di prenotazioni hotel, voli e noleggio auto.
Secondo quanto indicato dai ricercatori del CERT-AgID su Telegram “per la prima volta AgentTesla utilizza AMSIReaper come evasion tool nelle campagne italiane“. MSI-Reaper, lo ricordiamo, è uno strumento sviluppato in PowerShell
e C#
che consente di aggirare l’interfaccia di scansione anti-malware in Windows.
Il flusso d’infezione seguirebbe la seguente catena: PDF > JS > PS1 (AMSI-Reaper) > EXE (AgentTesla).
In pratica l’apertura del file PDF avvia localmente uno script JS, che scarica ed esegue il contenuto di un URL (http://htlbackfeb-03-24.com///////////atom.xml) che reindirizza verso uno script Powershell (AMSI-Reaper.ps1) ospitato su un dominio bitbucket e deputato a scaricare il binario eseguibile .NET (AgentTesla). Gli IoC resi disponibili dal CERT-AgID menzionando un dominio API di Telegram, suggeriscono inoltre che tutte le informazioni carpite vengono esfiltrate tramite un C2 Telegram.
Come difendersi
Per ridurre la possibilità che i malware non vengano eseguiti è sempre bene dotare i propri dispositivi di una solida e adeguata soluzione di sicurezza da mantenere sempre aggiornata. Ma solo questo non basta! Essendo che questi tipi di minaccia si propagano principalmente via phishing, la prima linea di difesa resta sempre l’elemento umano. Infatti investire su formazione e consapevolezza può fare davvero la differenza nel prevenire le infezioni da malware sul nascere.