Due mail con allegato gz diversi contengono lo stesso file chm. Questo scarica e avvia il malware. I dati rubati sono esfiltrati grazie all’ftp di un’azienda bosniaca.
Cybercrime, Agent Tesla attacca con l’esca dei corrieri
Analisi tecnica del Malware Hunter JAMESWT
Torna la campagna Agent Tesla a tema corrieri. L’esca è una falsa spedizione DHL. L’allegato, se aperto, contatta un link da cui viene scaricato il malware e i dati vengono esfiltrati via SMTP
Agent Tesla torna nella sua campagna globale con una trappola a tema corriere. L’esca è la presunta ricevuta di una spedizione da parte di DHL, allegata alla mail. Si tratta di un file .doc che, se aperto, contatta un link da cui viene scaricato il malware. L’obiettivo del cybercrime è utilizzarlo per rubare dati sensibili dalle vittime, che vengono poi esfiltrati via SMTP. Agent Tesla, infatti, tramite la funzione keylogger, è in grado di acquisire tutto ciò che l’utente digita. Può anche rubare email e credenziali del browser e acquisire schermate. Infine, ha la possibilità di impartire comandi da remoto sul PC infetto, come scaricare payload aggiuntivi o aggiornare quelli presenti.
La falsa mail di DHL
La comunicazione con l’SMTP
Articoli correlati
