skip to Main Content

Cybercrime, AgentTesla ora è veicolato con allegati .xll

AgentTesla ora è veicolato con allegati .xll. I file pacchettizzati con Excel-DNA da cui si estrae una dll che contiene due url che puntano a Discord. Questi scaricano file data e li codificano con XOR creando ulterieri dll, che avviano l’infezione del malware. Anche in Italia

Nuova tecnica del cybercrime per veicolare AgentTesla anche in Italia, bypassando gli antivirus: gli allegati xll, pacchettizzati con Excel-DNA.

I due file nella falsa mail, inviata da una vera azienda in India, se aperti creano una dll. Questa contiene due url su Discord, che scaricano file DATA e procedono a una codifica XOR con la key “FuckMicrosoft123”, trasformandoli in una dll, la quale avvia l’infezione del malware. E’ la prima volta che nel panorama della cybersecurity che Agent Tesla viene diffuso con questa modalità. Non è chiaro, invece, se il codice malevolo usi ftp o smtp per esfiltrare le informazioni rubate, una volta installato nella macchina della vittima. Il malware, infatti, tramite la funzione keylogger, è in grado di acquisire tutto ciò che l’utente digita. Inoltre, può rubare email e credenziali del browser e acquisire schermate. Infine, ha la possibilità di impartire comandi da remoto sul PC infetto, come scaricare payload aggiuntivi o aggiornare quelli presenti.

L’analisi del Malware Hunter JAMESWT sui file xll

Back To Top