Kaspersky ha rilevato una campagna spam insolita, basata sullo stealer Agent Tesla, che ha messo nel mirino le aziende di tutto il mondo.
I cyber criminali hanno imitato le email di fornitori o partner per rubare i dati di accesso delle organizzazioni colpite attraverso ul noto stealer Agent Tesla.
Le credenziali rubate potrebbero finire in vendita sui forum nel darkweb oppure sfruttate in attacchi mirati contro queste organizzazioni. Ecco come difendersi dal malspam.
“Questa campagna”, commenta Paolo Passeri, Principal Sales Engineer and Cyber Intelligence Specialist di Netskope, “costituisce l’ennesimo esempio di come gli attaccanti siano alla costante ricerca di nuovi modi per monetizzare le credenziali compromesse”.
Indice degli argomenti
Ritorna lo stealer Agent Tesla: gli attacchi in cifre
Nel periodo compreso tra maggio e agosto 2022, l’attività del malware ha raggiunto i picchi massimi in Europa, Asia e America Latina. Il Messico ha registrato il maggior numero di vittime (20.941). Seguono la Spagna (18.090) e la Germania (14.880). Invece in Italia si attestano a quota 12.480 gli attacchi perpetrati con Agent Tesla.
I criminali informatici scommettono in campagne di spam di massa, in cui investono per indirizzare la campagna spam a varie aziende.
Kaspersky ha scoperto imitazioni in alta qualità di richieste commerciali da parte di aziende reali. Ha riconosciuto le imitazioni solo grazie agli indirizzi dei mittenti che non erano corretti.
Inoltre, come payload gli attaccanti hanno sfruttato lo stealer Agent Tesla, un noto malware Trojan Spy, ideato per trafugare informazioni di autenticazione, dati e screenshot catturati da telecamere e tastiere web.
“Questo aspetto”, continua Paolo Passeri, “non costituisce affatto una sorpresa se si considera il fatto che utilizzare credenziali compromesse verso servizi esposti su internet, vulnerabili o configurati erroneamente, costituisce oggi uno dei vettori di accesso principali per gli attacchi ransomware. Non a caso il commercio underground di credenziali costituisce un business assai proficuo. Per aumentare la possibilità di successo, in questo caso specifico gli attaccanti si sono appoggiati su Agent Tesla, un malware-as-a-service disponibile sul mercato dal 2014 che nel corso degli anni ha mostrato una notevole flessibilità di utilizzo”.
I cyber criminali hanno distribuito il malware come archivio ad estrazione automatica allegato all’email.
“Agent Tesla è uno stealer molto popolare usato per recuperare password e altre credenziali dalle aziende colpite. È conosciuto dal 2014 e viene ampiamente usato dagli spammer negli attacchi di massa. Tuttavia, in questa campagna, i criminali informatici hanno adottato tecniche tipiche degli attacchi mirati: le email inviate sono state personalizzate appositamente per l’azienda di interesse e differiscono a malapena da quelle legittime,” commenta Roman Dedenok, Security Expert di Kaspersky.
Ecco come difendersi
La consapevolezza dei rischi deve essere patrimonio del personale aziendale, che deve ricevere formazione di base sulla cybersecurity.
Le imprese devo svolgere simulazioni di attacchi di phishing per garantire che i team sappiano distinguere le email di phishing.
Occorre impiegare una soluzione di protezione per endpoint e server di posta con opzioni anti-phishing, per riconoscere stealer Agent Tesla come Trojan-PSW.MSIL.Agensla.
Inoltre, nel cloud esistono sistemi dedicati anti-spam e anti-phishing, in grado di difendere le applicazioni SharePoint, Teams e OneDrive per rendere sicure le comunicazioni aziendali.
Tuttavia c’è un ulteriore aspetto interessante riguardante la modalità di attuazione. “Anche in questo caso”, mette in guardia Passeri, “i criminali hanno sfruttato la fiducia digitale (digital trust) delle vittime impersonando fornitori e partner legittimi. E se uno dei punti deboli delle campagne massive di spam riguarda la qualità dell’inglese che spesso tradisce la natura sospetta dei messaggi, in questo caso gli attaccanti si sono finti fornitori da paesi non anglosassoni, legittimando indirettamente la forma approssimativa dell’inglese”.
“In linea teorica le vittime avrebbero potuto rilevare la natura sospetta delle mail controllando l’indirizzo di provenienza delle mail, scorrelato dal brand impersonato“, conclude Passeri, “ma questo è un controllo che solo gli utenti più attenti effettuano, e che è diventato ancora meno frequente visto che oggi l’interazione degli utenti con colleghi, fornitori e partner avviene principalmente nel mondo digitale e di conseguenza gli stessi non sono più abituati a porre molta attenzione ai dettagli, dando per scontata la legittimità delle interazioni”.
