Scoperto quasi 6 anni fa, il Remote Access Trojan Agent Tesla sembra non aver perso colpi, anzi, secondo una recente ricerca è stato il malware più diffuso nella prima metà del 2020, prendendo il posto di “superstar” del mondo del cyber crime come Emotet e TrickBot.
Sfruttando soprattutto la pandemia di Covid-19 – vero e proprio boost per il cyber crime – Agent Tesla è riuscito a evolversi, approfittando del maggiore numero di target a disposizione grazie allo smart working diffuso, per sviluppare nuove tecniche e funzionalità aggiuntive da aggiungere al suo arsenale.
Il RAT – e di conseguenza il gruppo di criminal hacker che stanno alle sue spalle – ha dimostrato una innata abilità nell’adattarsi alle ultime evoluzioni del mondo della cyber security, rispondendo colpo su colpo con nuove varianti e funzionalità nel corso dell’anno.
Un altro grande punto di forza è stato anche il metodo con cui ha cambiato tema nelle sue campagne phishing “di supporto” usate per diffondere il malware.
Se nella prima parte dell’anno aveva, come molti, fatto leva su e-mail a tema coronavirus, adesso è tornato alla carica con delle campagne più mirate alle aziende, facendo leva su allegati e comunicazioni apparentemente legittime contenenti il payload.
Queste campagne sono state anche rilevate in Italia con una serie di segnalazioni nelle prime settimane di settembre.
Indice degli argomenti
Agent Tesla: le campagne malevoli in Italia
Lo scorso 10 settembre, l’Indipendent Malware Hunter JAMESWT ha condiviso su Twitter uno screenshot di un allegato (una fattura) proveniente dalla sede uruguayana di un’azienda reale e destinata a un’organizzazione nel nostro Paese.
Il testo, in spagnolo, era la classica esca utilizzata per trarre in inganno le organizzazioni: “ricevuta riguardo l’ultimo pagamento”.
Il payload era, invece, nascosto proprio nell’allegato codificato in formato .gz; formato di compressione meno popolare dei classici .zip e .rar, ma comunque molto utilizzato.
Ovviamente, se cliccato ed estratto, questo documento portava all’avvio della catena d’infezione di Agent Tesla.
Passati solo alcuni giorni dalla segnalazione di questa prima evidenza dell’attività del RAT nel nostro Paese, sempre lo stesso JAMESWT ha condiviso altri due campioni della campagna malevola.
Il primo, datato 15 settembre, utilizzava lo stesso modello della mail “uruguaiana”, ma modificava la richiesta – questa volta in inglese – indicando la volontà di inviare un ordine per uno dei prodotti dell’azienda vittima.
La fittizia società creata dai criminal hacker – questa volta con sede in Arabia Saudita – allegava al corpo della mail un file in formato .gz contenente il payload e come esca usava i dettagli dell’ordine e l’indirizzo di spedizione.
Ma non è finita qui, sempre il 15 settembre, sono state rilevate numerose e-mail di phishing che questa volta utilizzavano il nome di DHL come esca.
In questo caso, il dominio utilizzato per inviare le mail di phishing dai criminal hacker era volutamente reminiscente degli indirizzi impiegati da DHL stessa (NoReply.ODD@dhl.com), potendo facilmente trarre in inganno qualsiasi vittima non particolarmente attenta.
E ancora il 17 settembre. In questo caso, un altro esempio di phishing per diffondere Agent Tesla è stato accostato a delle mail, molto simili a quelle provenienti (apparentemente) dall’Arabia Saudita, in cui una fittizia azienda cinese chiedeva una quotazione per un eventuale ordine.
Insomma, sembra proprio che Agent Tesla stia prendendo di mira massicciamente il nostro Paese.
Agent Tesla, i dettagli tecnici
Ma cosa rende questo RAT così temibile, oltre alla sua adattabilità?
Storicamente Agent Tesla era nato come keylogger e data-stealer, ma nelle sue ultime “patch” ha aggiunto capacità di injection e diffusione molto più avanzate oltre alla capacità di sottrarre i dettagli delle reti e rubare credenziali di accesso.
Come se non bastasse, adesso è in grado di rubare anche i dati di configurazione e le credenziali di VPN, FTP, browser e client di posta. Tra le sue vittime preferite:
- Apple Safari;
- BlackHawk;
- Brave;
- CentBrowser;
- Chromium;
- Comodo Dragon;
- CoreFTP, FileZilla;
- Google Chrome;
- Iridium;
- Microsoft IE ed Edge;
- Microsoft Outlook;
- Mozilla Firefox;
- Mozilla Thunderbird;
- OpenVPN;
- Opera;
- Opera Mail;
- Qualcomm Eudora;
- Tencent;
- QQBrowser;
- Yandex.
Agent Tesla estrae le credenziali dai log e dai registri, oltre ai relativi file doc di configurazione. Tutti i dati estratti vengono poi inviati ad un server di Command and Control attraverso SMTP e FTP.
Questo metodo di comunicazione è impostato direttamente dalla configurazione interna del malware che, come hanno scoperto i ricercatori che per primi hanno preso in esame Agent Tesla, include le credenziali per il server del criminal hacker.
Un altro nuovo “trucco” che il RAT ha recentemente aggiunto è il fatto che ora va direttamente a scaricare degli .exe secondari da installare sulla macchina di una vittima, per poi iniettare il codice maligno in quei binari di secondo stadio come metodo per evitare il rilevamento da parte dei software di sicurezza. Il codice, in alcune versioni di Agent Tesla, viene anche iniettato in alcuni applicativi vulnerabili già presenti sulla macchina bersaglio.
In una campagna, per esempio, il RAT ha scaricato una copia di RegAsm.exe e vi ha iniettato codice aggiuntivo; successivamente, RegAsm.exe è diventato responsabile della gestione dei principali lavori di raccolta e di esfiltrazione dei dati. L’iniezione viene effettuata utilizzando il processo di hollowing, in cui le sezioni di memoria vengono “svuotate” per utilizzare lo spazio creato per inserire codice maligno.
Altri miglioramenti possono essere visti nel comportamento dell’esecuzione del malware. Al momento del lancio, questo raccoglie informazioni sul sistema locale, installa il modulo keylogger e inizializza le routine per la scoperta e la raccolta dei dati. Parte di questo processo include la possibilità di scoprire le impostazioni e le credenziali della rete wireless.
Come difendersi
Essendo una minaccia che si propaga principalmente via phishing, la prima linea di difesa deve passare direttamente dal fattore umano.
Riconoscere una mail di phishing è diventata oramai un skill imprescindibile a qualsiasi livello aziendale – dai dipendenti alla dirigenza -.
Investire sulla formazione e sull’awareness del personale può fare la differenza tra il mantenere intatto il proprio perimetro di difesa e il dover fare i conti con costosi cyber security incident.
Proprio per rispondere a questa esigenza, nasce il servizio di Phishing Attack Simulation che sottopone a simulazioni di attacco da parte di criminal hacker i dipendenti della tua azienda.
Effettuate con la giusta regolarità, queste sessioni formative sono l’antidoto migliore contro il pericolo phishing.
Un’altra componente chiave in una solida difesa è l’utilizzo della Cyber Threat Intelligence.
L’utilità della Cyber Threat Intelligence è evidente: aiuta le organizzazioni ad acquisire conoscenze preziose sulle minacce direttamente più incombenti, a costruire meccanismi di difesa efficaci (cyber resilience) e a mitigare i rischi che potrebbero danneggiare i loro profitti e la loro reputazione.
Questa capacità di intelligence include la raccolta e l’analisi di informazioni al fine di caratterizzare possibili minacce cyber dal punto di vista tecnico in relazione a contesti operativi specifici.
In breve, la Cyber Threat Intelligence diventa l’early warning necessario per sapere se siamo finiti nel mirino dei criminal hacker.
Conclusione
Il caso di Agent Tesla è emblematico: un RAT che continua ad aggiornarsi e ad aggiungere funzionalità, prova di come il cyber crime non resti mai fermo e – di conseguenza – di come la cyber security debba sempre essere attiva e in evoluzione.
Chi si ferma è perduto! Non abbassiamo la guardia.
