Il link nell’allegato esegue un PS e scarica la dll da una lista interna di url, avviando l’infezione del malware.
Cybercrime, Agent Tesla veicolato anche in Italia via ordine di pagamento
Analisi tecnica del Malware Hunter JAMESWT
Agent Tesla veicolato anche in Italia via ordine di pagamento. Due mail con allegato gz diversi contengono lo stesso file chm. Questo scarica e avvia il malware. I dati rubati sono esfiltrati grazie all’ftp di un’azienda bosniaca
AgentTesla si nasconde dietro a una falsa mail legata a un ordine di pagamento.
L’allegato gz del messaggio, arrivato anche in Italia, contiene un file chm. Questo, se aperto, scarica e avvia il malware.
I dati rubati vengono poi esfiltrati via ftp, sfruttando il protocollo compromesso di un’azienda bosniaca.
Peraltro, sono in circolazione due mail con allegati diversi. All’interno degli archivi gz, però, il file chm è identico. Agent Tesla, tramite la funzione keylogger, è in grado di acquisire tutto ciò che l’utente digita. Inoltre, può rubare email e credenziali del browser e acquisire schermate. Infine, ha la possibilità di impartire comandi da remoto sul PC infetto, come scaricare payload aggiuntivi o aggiornare quelli presenti.