Agent Tesla: nuova variante malware infetta PC tramite exploit Excel

I ricercatori di FortiGuard Labs hanno rilevato una nuova variante della famigerata famiglia di malware Agent Tesla utilizzata in una campagna di phishing.

L’autore del rapporto, l’esperto di sicurezza informatica Xiaopeng Zhang, ha rivelato come il malware possa rubare “credenziali, dati di keylogging e screenshot” dal dispositivo della vittima.

Le informazioni sottratte vengono trasferiti all’operatore del malware tramite e-mail o protocollo SMTP, con l’agente malevolo che sembra prediligere come obiettivo i dispositivi Windows.

Agent Tesla viene proposto ai cybercriminali come strumento Malware-as-a-Service e, proprio per questo motivo, è molto diffuso nel contesto del crimine informatico.

Agent Tesla si diffonde tramite phishing e agisce attraverso una vecchia vulnerabilità di Excel

Secondo quanto risulta dalle ricerche, la nuova variante del malware agisce attraverso un’e-mail di phishing in cui viene notificato un presunto ordine di acquisto e, con lo stesso, viene proposto un allegato Excel.

Questo, denominato 45232429.xls, è un documento è in formato OLE e contiene dati di equazioni predisposte che sfruttano una vecchia vulnerabilità di sicurezza RCE identificata come come CVE-2017-11882/CVE-2018-0802 invece di utilizzare una macro VBS.

Questa vulnerabilità causa il danneggiamento della memoria nel processo EQNEDT32.EXE e consente l’esecuzione di codice arbitrario tramite il metodo ProcessHollowing, in cui un hacker sostituisce il codice del file eseguibile con codice dannoso.

Uno shellcode scarica ed esegue il file Agent Tesla (dasHost.exe) da questo collegamento “hxxp://2395.128.195/3355/chromium.exe” sul dispositivo preso di mira. Si tratta di un programma .NET protetto da IntelliLock e .NET Reactor. I moduli rilevanti sono crittografati/codificati per impedire il rilevamento e l’analisi del modulo principale.

Vale la pena notare che Microsoft ha rilasciato correzioni per questa vulnerabilità nel novembre 2017 e nel gennaio 2018. Tuttavia, viene ancora sfruttata dagli autori di minacce che setacciano la rete alla ricerca di dispositivi non aggiornati.

Questi, incredibilmente, sono ancora molti:  secondo la ricerca FortiGuard, ogni giorno vengono osservati circa 1.300 dispositivi vulnerabili e vengono mitigati 3.000 attacchi al giorno attraverso IPS.