Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Campagne di spam a tema Coronavirus: distribuito il malware Agent Tesla
- MARTEDÌ 28 APRILE 2020


Il trend crescente di campagne di malspam a tema Coronavirus individuato le scorse settimane si conferma. i Quick Heal Security Labs seguono attentamente questo andamento, in vista non solo di fornire informazioni utili per riconoscere ed evitare questo tipo di attacchi, ma anche per aggiungere informazioni e migliorare le capacità di prevenzione e individuazione delle soluzioni di sicurezza Quick Heal. 

Nel corso di questa osservazione abbiamo individuato una campagna di distribuzione del malware Agent Tesla via email di spam a tema Coronavirus finalizzata al furto di informazioni sensibili, alla cattura delle battiture della tastiera e degli screenshot e al furto delle password salvate nei browser. 

In realtà le campagne di distribuzione di Agent Tesla che abbiamo individuato sono di tre tipologie diverse: 
  • una sfrutta la vulnerabilità CVE-2017-11882 di MS Office;
  • una sfrutta la vulnerabilità CVE-2017-8570 di MS Office;
  • una utilizza archivi con doppia estensione eseguibile (ZIP, RAR ecc...)
Qualche dettaglio tecnico:
Variante 1:
La vittima riceve una mail di phishing con un allegato email chiamato "COVID 19 NEW ORDER FACE MASKS.doc.rtf": questo documento è un file RTF che sfrutta la vulnerabilità CVE-2017-11882, che affligge il tool Microsoft Equation. Questa vulnerabilità, in realtà già risolta ma pochissimi risultano i sistemi aggiornati con le dovute patch, consente ad un attaccante di eseguire codice arbitrario da remoto  e, una volta che l'exploit ha successo, di installare il payload di Agent Tesla. Il payload esegue una "code injection" nel processo legittimo di Wndows RegAsm.exe avviando così il furto dei dati, che vengono inviati al server di comando e controllo degli attaccanti. 


I file RTF è altamente offuscato, per rendere più difficile l'individuazione da parte delle soluzioni antivirus. 

Variante 2:
La vittima riceve una email di phishing con allegati del tipo “COVID-19 SUSPECTED AFFECTED VESSEL.doc” e "COVID-19 measures for FAIRCHEM STEED, Voyage (219152).doc". Questi doc RTF contengono un oggetto OLE2Link per sfruttare la vulnerabilità  CVE-2017-8570, che consente l'esecuzione di script senza alcuna interazione da parte dell'utente. Se l'exploit ha successo, viene eseguito PowerShell.exe per scaricare ed eseguire il payload del malware da un server remoto. 


Variante 3:
La vittima riceve una email di phising che distribuisce allegati .ZIP, .RAR: l'allegato è rinominato “COVID-19 Supplier Notice.zip". L'archivio contiene un allegato dannoso che estrae poi il malware Agent Tesla, ma sotto il nome "COVID-19 Supplier Notice.jpg.exe". Quando questo payload si avvia, esegue l'iniezione di codice in un processo di Windows legittimo, RegAsm.exe. Se il meccanismo ha successo, Agent Tesla avvia l'attività di furto dati e informazioni.
Qualche informazione sul payload
I payload di Agent Tesla non differiscono molto tra le tre versioni. Il codice dannoso è memorizzato nella sezione risorse del codice binario. Una volta decriptato in memoria, viene caricata la dll e a questo punto viene di nuovo decriptato il codice dannoso finale. Sarà proprio questo ad essere iniettato nel processo RegAsm.exe. A questo punto inizia la raccolta di informazioni. AgentTesla per prima cosa cerca informazioni come Username, Nome del Computer, Nome completo del sistema operativo e altre informazioni di base. Poi avvia il furto dei dati salvati dai browser: nel codice contiene una lista di ben 25 browser, con tanto di percorsi (foto sotto)


Ha anche una lista di client email, con i rispettivi percorsi, per rubare i dati delle email e inviare anche questi al server di comando e controllo. Il payload però, come dicevamo, può anche catturare tutto quello che passa sullo schermo dell'utente tramite screenshoot in formato JPG della finesta corrente dell'utente e lo fa ad intervalli regolari. Crea quindi un client SMTP per inviare le immagini catturate al server degli attaccanti. L'email alla quale questi dati sono inviati è ‘amani@planetships.net’ e l'oggetto email è SC_(nome utente della vittima): il corpo messaggio contiene le informazioni del sistema della vittima e le immagini catturate sono aggiunte come allegato. 

E' stata riscontrata anche attività di keylogging, ovvero di intercettazione di tutte le battiture sulla tastiera. 

Quick Heal protegge da questa tipologia di attacchi
Il nostro Sistema di Individuazione Comportamentale blocca tutte le varianti conosciute di Agent Tesla



Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 28 MAGGIO 2020
Quick Heal supporta il Windows 10 May 2020 Update (Vibranium)
Microsoft ha recentemente rilasciato un nuovo update per Windows 10, chiamato Windows 10 May 2020 Update Vibranium (Build version 2004). Questo post evidenzia i punti chi...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2020 nwk - Privacy Policy - Cookie Policy - Login