skip to Main Content

Cybercrime: In circolazione una nuova variante di AgentTesla

Malwarebytes scopre una nuova variante del malware AgentTesla. Il cybercrime lo sta usando per rubare password e dati WiFi da diverse applicazioni come browser e client FTP

Il cybercrime sta diffondendo una nuova variante del malware AgentTesla. Lo hanno scoperto i ricercatori di cyber security di Malwarebytes. Obiettivo: rubare password e dati WiFi da diverse applicazioni come browser, client FTP. Il codice malevolo viene veicolato attraverso file in vari formati come ZIP, CAB, MSI, IMG e documenti di Office e le invia tramite il server C2. Il CERT-PA spiega che questa versione, sempre scritta in .NET, ha al suo interno un eseguibile (ReZer0V2) il cui sorgente risulta cifrato. Il malware ha aggiunto controlli anti-debugging, anti-sandboxing e anti-virtualizzazione che vengono attivati prima di eseguire la variante sulla macchine della vittima. Una volta eseguiti tutti i controlli, il file eseguibile decodifica e inietta il contenuto. Poi rilascia un secondo payload offuscato, che rappresenta il componente responsabile del furto di credenziali da browser, client FTP, profili wireless.

Gli esperti di cyber security del CERT-PA spiegano come opera il codice malevolo

Secondo gli esperti di cyber security, la nuova variante di AgentTesla, per raccogliere le credenziali del profilo wireless, crea un nuovo processo “netsh” passando “wlan show profile” come argomento. I nomi WiFi disponibili vengono quindi estratti applicando un regex: “All User Profile *: (? . *)”, sull’output del processo. Per ogni profilo, oltre ai dati WiFi, l’eseguibile raccoglie informazioni dettagliate sul sistema, inclusi client FTP, browser, downloader di file e informazioni sulla macchina (nome utente, nome del computer, nome del sistema operativo, architettura della CPU, RAM) e le aggiunge a un elenco che faranno parte di un messaggio email. Peraltro, tutte le stringhe utilizzate dal malware sono cifrate e decifrate utilizzando le classi di .NET per la cifratura a chiave simmetrica di Rijndael. Al momento non ci sono evidenze di campagne verso utenti in Italia. Il CERT-PA raccomanda comunque prudenza, soprattutto nell’aprire gli allegati mail.

Back To Top