Come sappiamo certe minacce non possono essere eliminate una volta per tutte, questo perché vengono aggiornate dagli hacker in continuazione e tornano a colpire cercando di mutare la loro forma e fare nuovamente breccia, esattamente come i virus, un termine che infatti non viene dato a caso. Il CERT-AGID, struttura di AGID che si occupa di incasellare ed aggiornare le principali minacce che colpiscono l’Italia, è tornata a parlare di AgentTesla, che anche in questo blog è stato osservato durante il 2024 e che torna a preoccupare in seguito ad alcune modifiche fatte dai suoi creatori.
Come spiegano i tecnici in un approfondimento del 2 dicembre scorso, non capita di rado che coloro che sviluppano i malware incappino in errori di creazione che poi non fanno andare a segno i loro colpi anche dopo che la vittima esegue tutti i passi necessari. Per esempio, pensiamo ad un virus che si dovrebbe attivare all’apertura di un file PDF malevolo, cosa che in principio faceva anche AgentTesla, ma che invece non si attiva per errori di produzione a monte. Ciò può succedere però anche per i cosiddetti MaaS, ovvero i Malware-as-a-Service acquistati dai gruppi hacker ma prodotti da altri attaccanti. Questa problematica si è avuta proprio nei giorni scorsi con AgentTesla, che i criminali informatici hanno provato a diffondere massivamente via email in tutta Italia ma il cui allegato risultava difettoso e non faceva partire tutta la catena di compromissione. Questo perché, per dirla col CERT, mancava una semplice stringa di codice a fare da delimitatore. Le sandbox dei sistemi antivirus e antispam, secondo gli esperti, vedevano il malware come effettivamente dannoso ma quest’ultimo non aveva effetti di alcun tipo poiché non faceva partire traffico di rete.
Ovviamente i malfattori se ne sono accorti ed hanno aggiornato il file, che è stato riscontrato nuovamente ed è stato segnalato dai sistemi del CERT-AGID ed è stato riconosciuto proprio in AgentTesla, un malware che ormai fa “compagnia” agli utenti italiani da diversi anni risultando sempre tra i primi dieci riscontrati dai sistemi di protezione. Questa capacità di mutare continuamente forma sembra essere uno dei punti cardine di AgentTesla, ma in questo specifico caso sembrerebbe che la cifratura sia arrivata ad un livello tale da averlo reso più difficile da riscontrare.
Tutti i dati tecnici riguardanti AgentTesla e la sua ricomparsa nelle campagne indirizzate ad utenti del nostro paese possono essere letti al link nelle fonti di questo articolo, mentre la “lezione” che impariamo è che anche gli hacker sbagliano ma, a differenza di molti altri, purtroppo si riescono a rimettere in carreggiata piuttosto rapidamente. Ovviamente questo è anche un monito ad innalzare i livelli d’attenzione e non aprire mai allegati sospetti.
Fonte: 1