L’allegato img dell’email contiene un file exe: il malware. I dati rubati sono esfiltrati via email.
Cybercrime, Agent Tesla veicolato anche in Italia via ordine di pagamento

Analisi tecnica del Malware Hunter JAMESWT
Agent Tesla veicolato anche in Italia via ordine di pagamento. Due mail con allegato gz diversi contengono lo stesso file chm. Questo scarica e avvia il malware. I dati rubati sono esfiltrati grazie all’ftp di un’azienda bosniaca
AgentTesla si nasconde dietro a una falsa mail legata a un ordine di pagamento.
L’allegato gz del messaggio, arrivato anche in Italia, contiene un file chm. Questo, se aperto, scarica e avvia il malware.
I dati rubati vengono poi esfiltrati via ftp, sfruttando il protocollo compromesso di un’azienda bosniaca.
Peraltro, sono in circolazione due mail con allegati diversi. All’interno degli archivi gz, però, il file chm è identico. Agent Tesla, tramite la funzione keylogger, è in grado di acquisire tutto ciò che l’utente digita. Inoltre, può rubare email e credenziali del browser e acquisire schermate. Infine, ha la possibilità di impartire comandi da remoto sul PC infetto, come scaricare payload aggiuntivi o aggiornare quelli presenti.