Il 24 Gennaio 2023 Fortgale ha individuato una campagna Malware Agent Tesla veicolata tramite e-mail per compromettere sistemi di aziende italiane.
In questo articolo tecnico verrà analizzato il comportamento del malware e come ha compromesso le vittime attraverso l’analisi delle caratteristiche del codice e dei dati raccolti.
E’ ormai prassi comune quella di inserire gli indirizzi e-mail delle vittime nel campo Ccn (copia nascosta), il testo rimanda ad un ordine di acquisto, in allegato un archivio compresso in formato LZH che contiene l’eseguibile ORDINE DI ACQUISTO N. BCM190282.exe.
L’eseguibile è risultato essere il Malware Agent Tesla che, prima di compromettere il sistema, lancia una serie di controlli per poi avviare attività di esfiltrazione dei dati della vittima collezionando informazioni sul sistema e le password di browser.
Analisi del Malware
Per estrarre informazioni e indicatori utili all’identificazione del malware, è stato analizzato il file ORDINE DI ACQUISTO N. BCM190282.exe.
L’eseguibile è un file EXE basato sul framework .NET contenente alcuni moduli cifrati e offuscati sotto forma di risorse che vengono caricati durante l’esecuzione.
Attraverso software dedicati è stato possibile decompilare e in seguito deoffuscare l’eseguibile e gli ulteriori moduli caricati a runtime.
Stage 1
In questo primo stage (l’inizializzazione del software legittimo) viene decifrato dalle risorse e caricato in memoria il primo modulo contenente il malware Agent Tesla.
Il malware si appoggia su codice di un software legittimo in modo da avviare le sue funzionalità malevole durante l’inizializzazione dei componenti leciti.
Stage 2
In base alla configurazione presente nel sample, è possibile che alcune funzionalità non vengano utilizzate. Ad esempio, nel caso di questo sample, non viene controllata la presenza del malware sulla macchina tramite un check sui mutex, non viene chiamata la funzione Sleep per incrementare i tempi di esecuzione del malware ed evadere eventuali metodi di rilevamento tramite sandbox a tempo e non vengono scaricati ed eseguiti ulteriori file.
Nel secondo stage vengono applicate tecniche di persistenza, defence evasion, anti-debug e anti-sandbox.
Dopo aver provato a creare una regola di esclusione per il file su Microsoft Defender, il malware ferma la sua esecuzione nel caso in cui i controlli sulla presenza di una macchina virtuale (VMware, VirtualBox, QEMU), di una utenza particolare (Nome macchina o utente uguale a Sandbox, Virus, Malware, …) o di un filename caratteristico vadano a buon fine.
Proseguendo con la sua attività, il malware crea un task schedulato per ottenere la persistenza sul sistema.
‘ultima azione eseguita prevede l’estrazione del payload finale dalle risorse dell’eseguibile e la sua esecuzione tramite Process Hollowing.
Di seguito viene mostrata la funzione principale in cui viene valutata la configurazione del malware e successivamente eseguito il flusso di operazioni previsto.
Stage 3
Nel terzo e ultimo stage, il malware effettua alcuni controlli sulla presenza di file potenzialmente interessanti come:
- File di cookie e password storage di browser (Opera, Firefox, Chrome)
- File di software contenenti credenziali relative a servizi cloud (Apple, Microsoft)
- File di Microsoft Credentials
- Credenziali di client FTP
- Credenziali di client di posta
Una volta collezionati, i dati vengono inviati ad un bot di Telegram sotto forma di file HTML.
Indicatori di Compromissione
File
- ORDINE DI ACQUISTO N. BCM190282.lzh
- SHA-256: c829fe437caee2845da6f1d6ba7096dc5b73b0656c1e6e5dce556df87d0d97f4
- MD5: 626d4f6c378fdd36644260a5a369fa90
- ORDINE DI ACQUISTO N. BCM190282.exe
- SHA-256: 6a38cb877dc57efa24fe27df01e1a11c4006ff7f9faa20a68aebbf6f3984ffcd
- MD5: a15d62e5cbcc04eb260aeeecbfb07cc4
URL
- hxxps://api[.]telegram[.]org/bot5698972394:AAELt5lfu8M6VszYWCv7l1dRLRsOgjCKrLI/sendDocument
