Analisi tecnica del Malware Hunter JAMESWT

Agent Tesla veicolato anche in Italia via ordine di pagamento. Due mail con allegato gz diversi contengono lo stesso file chm. Questo scarica e avvia il malware. I dati rubati sono esfiltrati grazie all’ftp di un’azienda bosniaca

AgentTesla si nasconde dietro a una falsa mail legata a un ordine di pagamento.

L’allegato gz del messaggio, arrivato anche in Italia, contiene un file chm. Questo, se aperto, scarica e avvia il malware.

I dati rubati vengono poi esfiltrati via ftp, sfruttando il protocollo compromesso di un’azienda bosniaca.

Peraltro, sono in circolazione due mail con allegati diversi. All’interno degli archivi gz, però, il file chm è identico.  Agent Tesla, tramite la funzione keylogger, è in grado di acquisire tutto ciò che l’utente digita. Inoltre, può rubare email e credenziali del browser e acquisire schermate. Infine, ha la possibilità di impartire comandi da remoto sul PC infetto, come scaricare payload aggiuntivi o aggiornare quelli presenti.