Cybersecurity: campagna AgentTesla contro utenti italiani

Non si fermano le offensive degli hacker verso l’Italia, uno dei paesi che, come spesso vediamo dai report, è tra i più bersagliati in Europa e nel mondo. Il CERT di AgID ha segnalato in questi giorni che AgentTesla, un noto malware diffuso dall’omonimo gruppo hacker, ha preso di mira diversi utenti italiani mediante una campagna diffusa che mira a far aprire allegati PDF a coloro che ricevono le mail fraudolente.

Le mail di spam utilizzano un oggetto che parla di una fattura, contrassegnata da un numero, da visualizzare con urgenza sfruttando il nome di noti portali web. Nell’esempio posto da CERT-AgID, per esempio vediamo quello di Booking, ma si può presupporre che venga utilizzato anche il nome di altri siti web. L’allegato, come preannunciato, è un file PDF che, una volta aperto mostra un messaggio d’errore di caricamento ed un tasto che esorta a ricaricare la pagina. Il tasto Ricarica, tuttavia, cela l’intento di scaricare un file dannoso per iniziare poi l’esecuzione di uno script dannoso. La questione che ha incuriosito gli esperti è quella del cambiamento di stile degli hacker di AgentTesla, che sono passati da cartelle compresse contenenti file .exe ad un altro tipo di file, in questo caso PDF, per poter fare breccia nei sistemi delle vittime.

Una volta che il “contagio” è avvenuto, AgentTesla inizia ad esfiltrare informazioni importanti da diversi sistemi, come ad esempio i browser, per poi rubare credenziali salvate ed altri dati sensibili e metterle poi in vendita nel dark web agli interessati, che successivamente le sfrutteranno per altre offensive anche più impattanti. Quello che spaventa di questa specifica gang di hacker è la peculiare organizzazione nel modo di agire. Questo perché si comportano come dei veri e propri venditori che mettono a disposizione di persone che vogliono sferrare attacchi degli strumenti semplici da usare e tutta l’assistenza tecnica necessaria.

Ovviamente, la protezione da queste minacce non è impossibile, basti pensare banalmente all’oggetto piuttosto vago e, con ogni probabilità, facilmente interpretabile come fraudolento. Questo perché, prendendo come esempio Booking, è chiaro che se non è stato prenotato alcun viaggio è impossibile che possano recapitarci una fattura. Tutto considerato, questa campagna fa quindi leva sull’errore umano, ovvero sperando che chi riceve la mail sia abbastanza sprovveduto da credere che si tratti di una mail veritiera. Per proteggersi da questa e da tutte le minacce riferite allo spam è quindi importantissimo analizzare sempre ed in modo dettagliato tutti gli elementi delle email che riceviamo quali, ad esempio, mittente (anche facendo mouse-hover su di esso) e testo della email.

 

Fonte: 1