Analisi tecnica del Malware Hunter JAMESWT

La nuova campagna malspam di Agent Tesla sfrutta false fatture di una vera compagnia marittima privata. La catena d’infezione viene attivata dal documento .doc allegato

Agent Tesla è diffuso ora grazie all’esca delle “navi”. C’è una nuova campagna malspam, che sfrutta false fatture di una vera società privata del settore marittimo. L’obiettivo è far sì che la vittima di aprire l’allegato, il quale include un file .doc e uno .xlsx. Quest’ultimo non funziona, mentre il primo contatta un link da cui viene scaricato il malware. L’obiettivo dei criminali informatici è utilizzarlo per rubare dati sensibili dalle vittime, che vengono poi esfiltrati via e-mail a un indirizzo fisso. Agent Tesla, infatti, tramite la funzione keylogger, è in grado di acquisire tutto ciò che l’utente digita. Può anche rubare email e credenziali del browser e acquisire schermate. Infine, ha la possibilità di impartire comandi da remoto sul PC infetto, come scaricare payload aggiuntivi o aggiornare quelli presenti.

Il testo della mail-trappola (thanks to Cocaman)

DNS HTTP/HTTPS requests / Connection

La comunicazione con l’SMTP