Una nuova campagna malspam italiana che, sfruttando alcune caselle di posta elettronica compromesse, veicola il RAT Agent Tesla inviando allegati con estensione .xlsm è stata individuata dal CSIRT questa settimana.
Il Remote Access Trojan Agent Tesla
Agent Tesla nato come semplice keylogger e infostealer, nel tempo ha assunto i connotati di un potente RAT per il controllo completo da remoto del target, aggiungendo ulteriori capacità spyware in grado di carpire oltre che impostazioni e account wifi anche credenziali di client di posta elettronica, VPN e browser, enumerando file di log, di registro e di configurazione e instaurando dei canali di comunicazione con centraline di comando per mezzo di protocolli standard e legittimi quali HTTP, SMTP e FTP.
Attraverso il phishing e cambiando opportunamente il tema delle campagne malspam e le tecniche di evasione, i criminal hacker sono riusciti a diffondere nel corso del tempo diverse varianti del codice Agent Tesla. Per esempio alcune di esse, al fine di eludere i sistemi di sicurezza con metodi di anti-rilevamento, non sono state iniettate direttamente nell’allegato e-mail (che in tal caso avvia solo la catena infettiva) ma fatte scaricare in stadi successivi attraverso binari eseguibili o addirittura inoculate in applicativi vulnerabili già presenti sulle macchine target.
L’ultima campagna malspam Italiana
La recente analisi condotta dal CSIRT parla di una campagna malspam che invia e-mail da caselle di posta compromesse a enti pubblici e società private italiani, in cui il messaggio, riportante loghi e nominativi reali, invita il destinatario ad aprire come allegato un file .xlsm ovvero un foglio di calcolo excel abilitato per le macro (“Ordine numero O45202020********.xlsm”, MD5: 1c6acfad45e467f2f2ca0807856c9102) facente riferimento ad un ipotetico ordine effettuato presso un’azienda tecnica specializzata. In realtà la macro excel, una volta abilitata dall’utente, avvia la catena d’infezione malevola con un processo deputato a reperire alcune informazioni di sistema e quindi a avviare, in seconda istanza, uno script PowerShell per scaricare un binario eseguibile (btl.exe, MD5: a216c284ec62f79239204d358030b247) dall’indirizzo http://95.214.8[.]54.
Le passate campagne malevoli rilevate
Questa è solo l’ultima di una serie di campagne veicolanti il malware Agent Tesla e che hanno interessato società e utenze italiane negli ultimi mesi. Di seguito un elenco di alcuni alert segnalati dal CSIRT anche con ulteriori e puntuali aggiornamenti per evento.
- Ottobre 2020. Il malware è veicolato tramite messaggio e-mail contenente un falso ordine di acquisto merce, il cui mittente si finge una società italiana. Il falso allegato di acquisto è in realtà un file .DAT che contiene un file eseguibile malevolo.
- Settembre 2020. Il malware è veicolato tramite messaggio e-mail contenente in allegato un archivio in formato GZ. L’oggetto del messaggio di posta, contenente un finto codice identificativo fa riferimento a una presunta comunicazione da parte della compagnia di trasporti internazionali DHL. L’allegato è un file eseguibile che avvia il processo d’infezione e di comunicazione con il server C2 finalizzato al download del relativo payload.
- Agosto 2020. Il malware è veicolato tramite messaggi e-mail inviati impersonando diverse società italiane. L’oggetto della mail fa riferimento a un’offerta di quotazione per un ordine di acquisto e il falso allegato altro non è che un file immagine .ISO che custodisce al suo interno il file eseguibile (.exe) malevolo.
- Giugno 2020. Il malware è veicolato tramite messaggio e-mail avente come oggetto una presunta copia di pagamento con relativa data di spedizione. Il testo, scritto in italiano, invita gli utenti ad aprire l’archivio allegato e compresso in formato .7z. Anche in questo caso il file eseguibile contenuto distribuisce il malware Agent Tesla.
Le azioni di difesa consigliate
Agent Tesla un RAT in continua evoluzione e periodicamente aggiornato dai suoi sviluppatori sempre con nuove funzionalità, attestandosi nel primo semestre 2020 in testa alle classifiche dei malware più diffusi, rappresenta, di fatto, una reale minaccia che propinata principalmente, come visto, attraverso una mescolanza di tecniche di social engineering e phishing deve essere a tutti i costi contrastata.
Risulta, pertanto, fondamentale adottare come misure di difesa non solo accorgimenti hardware/software ma anche azioni fondate sulla security awareness dell’elemento umano e atte a sensibilizzare l’utente a non ritenere, sbagliando, che una frode o una truffa non possa concretizzarsi anche per il tramite di strumenti spesso ritenuti puramente virtuali, privi di trabocchetti e scollegati dal mondo reale.
A tal proposito valgono le seguenti e utili raccomandazioni aziendali:
- limitare le funzionalità delle macro presenti nei documenti Office che attivano automaticamente connessioni a Internet;
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing anche per il tramite di servizi di simulazioni di attacchi;
- tenere sempre aggiornati apparati e strumenti di sicurezza con le patch disponibili, valutando anche l’eventuale implementazione degli indici di compromissione periodicamente indicati dal CSIRT.