Allerta AgentTesla: malware diffuso anche tramite file CHM e PDF

Secondo le rilevazioni di CRIL, il noto infostealer AgentTesla ha adottato nuove strategie di diffusione, che sfruttano i file con estensione CHM e PDF.

Il malware, dotato di diverse funzionalità pericolose come keylogging, il possibile accesso ai file system e la possibilità di trasferire dati a un server di comando e controllo, sarebbe dunque stato potenziato dai suoi creatori.

Nel caso dei file CHM, l’infezione parte da un’e-mail di spam. Il file in questione serve da esca e, una volta che viene attivato esegue uno script PowerShell all’insaputa della vittima. Questo va a installare codice dannoso, che a sua volta scarica un file DLL basato sul framework .NET che avvia la vera e propria infezione.

La situazione, nel caso dei file PDF, risulta molto diversa.

AgentTesla, File CHM e PDF: come evitare disastri?

In questo caso, questo PDF utilizza due diverse strategie per diffondere l’infezione. Nella prima tecnica, il PDF attiva un comando PowerShell che carica il malware AgentTesla in modo più diretto.

La seconda tecnica mostra una sorta di messaggio d’errore quando la vittima tenta di accedere al PDF. Al momento dell’errore viene proposto un pulsante per ricaricare il documento: questo, in realtà, va a scaricare un file PPAM. Quest’ultimo va ad eseguire operazioni PowerShell che vanno a scaricare AgentTesla.

Per prevenire l’infezione di questo infostealer, gli esperti hanno fornito diversi consigli utili all’utenza.

Applicare soluzioni efficaci nel contesto del filtraggio della posta elettronica, per esempio, è essenziale per evitare veri e propri disastri. In questo modo è possibile bloccare spam, truffe, phishing e allegati dannosi senza troppa fatica.

Evitare clic su link di dubbia provenienza e il download di file da e-mail potenzialmente sospette, è un altro modo per proteggere i propri dispositivi. Infine, adottare una suite antivirus all’altezza della situazione e mantenuta sempre aggiornata, può aiutare ulteriormente a limitare i pericoli legati a questi infostealer (e non solo).