Analisi tecnica del malware Hunter JAMESWT

Nuova campagna AgentTesla a tema RFQ anche in Italia. L’exe all’interno dell’allegato compresso è il malware stesso. I dati, peraltro, vengono esfiltrati via Telegram API invece che FTP o SMTP

Nuova campagna globale AgentTesla a tema ordini di prodotti, colpisce anche in Italia. L’esca è un Request For Quotation (RQF) e un ordine.

La mail contiene un file compresso in formato 7Z, con all’intero un eseguibile (il malware stesso). Se aperto, ruba informazioni sensibili alle vittime e le esfiltra via Telegram API, invece che via FTP o SMTP come avviene tradizionalmente.

AgentTesla, infatti, tramite la funzione keylogger, è in grado di acquisire tutto ciò che l’utente digita. Inoltre, può sottrarre email e credenziali del browser e acquisire schermate. Infine, ha la possibilità di impartire comandi da remoto sul PC infetto, come scaricare payload aggiuntivi o aggiornare quelli presenti.

Telegram API è stato già usato dal cybercrime per controllare malware come T-RAT, RATAttack, HeroRAT, TeleRAT, IRRAT, RAT-via-Telegram e Telegram-RAT

Telegram API, peraltro, è già stato utilizzato dal cybercrime per controllare malware (in particolare Remote Access Trojan), che prende di mira i dispositivi mobili. In effetti, è successo con T-RAT, RATAttack, HeroRAT, TeleRAT, IRRAT, RAT-via-Telegram e Telegram-RAT. Questo, perché i criminali hacker possono accedere ai computer infetti più velocemente e facilmente da qualsiasi luogo, per attivare le funzionalità di furto di dati non appena una vittima viene infettata e soprattutto prima che venga scoperta la presenza del RAT. Inoltre, il messenger garantisce facilità nell’installazione e nell’utilizzo del malware.