giovedì 11 giugno 2020

Utenti italiani sotto attacco: due campagne di email di spam distribuiscono il malware Agent Tesla


E' con un doppio alert (il primo il 9 Giugno, il secondo di oggi 11 Giugno) che il Computer Security Incident Response Team - Italia (CSIRT) avvisa gli utenti italiani di una campagna di email di spam che distribuisce il malware Agent Tesla

Agent Tesla è un trojan specializzato nel furto dati, dotato di funzionalità di spyware e keylogger: è in diffusione con due diverse campagne di email di spam, entrambe mirate contro utenti italiani. Vediamole in dettaglio
  •  Campagna numero 1 
La prima campagna, individuata l'8 Giugno, vede l'uso di una email di spam con oggetto email in inglese (Authorization for Payment), ma con il corpo email in italiano: impostata come una presunta (ovviamente falsa) autorizzazione di pagamento, tenta di convincere l'utente a cliccare sul link allegato nella email e a scaricare un documento dannoso in formato RTF. 


Quando l'utente prova ad aprire il documento RTF, visualizza una finestra di Microsoft Visual Basic contenente un errore.


Subito dopo viene attivato il download del payload di Agent Tesla. 

  • Campagna numero 2
Il secondo alert distribuisce la stessa versione del malware, ma utilizza una email differente per veicolare il contenuto dannoso. Questa email, in italiano, fa riferimento una presunta copia di pagamento, recante la data del giorno corrente. In allegato c'è un archivio in formato .7z che, una volta aperto, si rivela contenere un file eseguibile rinominato "copia di pagamento 10-06-2020.exe": al suo interno il malware Agent Tesla. 


Oltre a prestare attenzione alle email, invitando a non scaricare allegati e a non fare clic su link contenuti in email sospette, inaspettate o provenienti da destinatario sconosciuti, lo CSIRT consiglia l'implementazione dei seguenti Indicatori di compromissione nelle proprie soluzioni di sicurezza. 

IoC campagna 1 - download .txt qui 
IoC campagna 2 - download .txt qui 

Nessun commento:

Posta un commento