skip to Main Content

Cybercrime, Agent Tesla torna in Italia via Avion

Analisi tecnica del Malware Hunter JAMESWT

Nuova campagna malspam di Agent Tesla in Italia. Questa volta l’esca è lo spedizioniere Avion. La mail contiene un allegato compresso con all’interno un eseguibile. Lanciandolo, si installa il malware che tramite SMTP invia email con i dati rubati

Agent Tesla torna in Italia con una campagna malspam, che passa per lo spedizioniere Avion e in particolare il settore marittimo (seafreight). L’esca è sempre un falso ordine e si punta a far sì che il destinatario apra l’allegato. Questo è un documento compresso con all’interno un file .exe. Se la vittima lo apre, viene installato il malware. L’obiettivo del cybercrime è utilizzarlo per rubare dati sensibili dalle vittime, che vengono poi esfiltrati tramite SMTP tramite email (unirii@nordpharm[.ro ) a un indirizzo fisso (ricemagic290@gmail[.comricemagic290@gmail.]com). Agent Tesla, infatti, tramite la funzione keylogger, è in grado di acquisire tutto ciò che l’utente digita. Può anche rubare email e credenziali del browser e acquisire schermate. Infine, ha la possibilità di impartire comandi da remoto sul PC infetto, come scaricare payload aggiuntivi o aggiornare quelli presenti.

Il testo della mail-trappola

Il flusso dei dati esfiltrati via SMTP

Back To Top