L’email “Nieuwe bestelling 20230517/4500338579” esca per AgentTesla. L’allegato contiene un file Tar con un exe: il malware. I dati rubati sono esfiltrati via Telegram API allo stesso C2 della campagna “Nieuwe bestelling–100 STUKS ELK”

La campagna AgentTesla a tema prodotti usa un nuovo trucco per cercare di sfuggire agli anti-virus.

L’allegato gz dell’email “Nieuwe bestelling 20230517/4500338579” contiene un file tar con all’interno un exe: il malware. I dati rubati sono poi esfiltrati via Telegram API.

La campagna è la stessa di quella che sfrutta l’email “Nieuwe bestelling – 100 STUKS ELK” come esca con cui ne condivide il C2 e la falsa provenienza del messaggio dai Paesi Bassi. AgentTesla, tramite la funzione keylogger, può acquisire tutto ciò che l’utente digita. Inoltre, può rubare email e credenziali del browser e acquisire schermate. Infine, ha la possibilità di impartire comandi da remoto sul PC infetto, come scaricare payload aggiuntivi o aggiornare quelli presenti.