L'ANALISI TECNICA

Agent Tesla, il trojan colpisce le aziende italiane: i consigli per difendersi

Il malware Agent Tesla continua a prendere di mira il nostro Paese con numerose campagne di phishing, aggiungendo sempre nuove funzionalità al suo arsenale. Ecco come riconoscere la minaccia e i consigli per difendersi

22 Set 2020
I
Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder

Scoperto quasi 6 anni fa, il Remote Access Trojan Agent Tesla sembra non aver perso colpi, anzi, secondo una recente ricerca è stato il malware più diffuso nella prima metà del 2020, prendendo il posto di “superstar” del mondo del cyber crime come Emotet e TrickBot.

Sfruttando soprattutto la pandemia di Covid-19 – vero e proprio boost per il cyber crime – Agent Tesla è riuscito a evolversi, approfittando del maggiore numero di target a disposizione grazie allo smart working diffuso, per sviluppare nuove tecniche e funzionalità aggiuntive da aggiungere al suo arsenale.

Il RAT – e di conseguenza il gruppo di criminal hacker che stanno alle sue spalle – ha dimostrato una innata abilità nell’adattarsi alle ultime evoluzioni del mondo della cyber security, rispondendo colpo su colpo con nuove varianti e funzionalità nel corso dell’anno.

Un altro grande punto di forza è stato anche il metodo con cui ha cambiato tema nelle sue campagne phishing “di supporto” usate per diffondere il malware.

Se nella prima parte dell’anno aveva, come molti, fatto leva su e-mail a tema coronavirus, adesso è tornato alla carica con delle campagne più mirate alle aziende, facendo leva su allegati e comunicazioni apparentemente legittime contenenti il payload.

Queste campagne sono state anche rilevate in Italia con una serie di segnalazioni nelle prime settimane di settembre.

Agent Tesla: le campagne malevoli in Italia

Lo scorso 10 settembre, l’Indipendent Malware Hunter JAMESWT ha condiviso su Twitter uno screenshot di un allegato (una fattura) proveniente dalla sede uruguayana di un’azienda reale e destinata a un’organizzazione nel nostro Paese.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter

Il testo, in spagnolo, era la classica esca utilizzata per trarre in inganno le organizzazioni: “ricevuta riguardo l’ultimo pagamento”.

Il payload era, invece, nascosto proprio nell’allegato codificato in formato .gz; formato di compressione meno popolare dei classici .zip e .rar, ma comunque molto utilizzato.

Ovviamente, se cliccato ed estratto, questo documento portava all’avvio della catena d’infezione di Agent Tesla.

Passati solo alcuni giorni dalla segnalazione di questa prima evidenza dell’attività del RAT nel nostro Paese, sempre lo stesso JAMESWT ha condiviso altri due campioni della campagna malevola.

Il primo, datato 15 settembre, utilizzava lo stesso modello della mail “uruguaiana”, ma modificava la richiesta – questa volta in inglese – indicando la volontà di inviare un ordine per uno dei prodotti dell’azienda vittima.

La fittizia società creata dai criminal hacker – questa volta con sede in Arabia Saudita – allegava al corpo della mail un file in formato .gz contenente il payload e come esca usava i dettagli dell’ordine e l’indirizzo di spedizione.

Ma non è finita qui, sempre il 15 settembre, sono state rilevate numerose e-mail di phishing che questa volta utilizzavano il nome di DHL come esca.

In questo caso, il dominio utilizzato per inviare le mail di phishing dai criminal hacker era volutamente reminiscente degli indirizzi impiegati da DHL stessa (NoReply.ODD@dhl.com), potendo facilmente trarre in inganno qualsiasi vittima non particolarmente attenta.

E ancora il 17 settembre. In questo caso, un altro esempio di phishing per diffondere Agent Tesla è stato accostato a delle mail, molto simili a quelle provenienti (apparentemente) dall’Arabia Saudita, in cui una fittizia azienda cinese chiedeva una quotazione per un eventuale ordine.

Insomma, sembra proprio che Agent Tesla stia prendendo di mira massicciamente il nostro Paese.

Agent Tesla, i dettagli tecnici

Ma cosa rende questo RAT così temibile, oltre alla sua adattabilità?

Storicamente Agent Tesla era nato come keylogger e data-stealer, ma nelle sue ultime “patch” ha aggiunto capacità di injection e diffusione molto più avanzate oltre alla capacità di sottrarre i dettagli delle reti e rubare credenziali di accesso.

Come se non bastasse, adesso è in grado di rubare anche i dati di configurazione e le credenziali di VPN, FTP, browser e client di posta. Tra le sue vittime preferite:

  • Apple Safari;
  • BlackHawk;
  • Brave;
  • CentBrowser;
  • Chromium;
  • Comodo Dragon;
  • CoreFTP, FileZilla;
  • Google Chrome;
  • Iridium;
  • Microsoft IE ed Edge;
  • Microsoft Outlook;
  • Mozilla Firefox;
  • Mozilla Thunderbird;
  • OpenVPN;
  • Opera;
  • Opera Mail;
  • Qualcomm Eudora;
  • Tencent;
  • QQBrowser;
  • Yandex.

Agent Tesla estrae le credenziali dai log e dai registri, oltre ai relativi file doc di configurazione. Tutti i dati estratti vengono poi inviati ad un server di Command and Control attraverso SMTP e FTP.

Questo metodo di comunicazione è impostato direttamente dalla configurazione interna del malware che, come hanno scoperto i ricercatori che per primi hanno preso in esame Agent Tesla, include le credenziali per il server del criminal hacker.

Un altro nuovo “trucco” che il RAT ha recentemente aggiunto è il fatto che ora va direttamente a scaricare degli .exe secondari da installare sulla macchina di una vittima, per poi iniettare il codice maligno in quei binari di secondo stadio come metodo per evitare il rilevamento da parte dei software di sicurezza. Il codice, in alcune versioni di Agent Tesla, viene anche iniettato in alcuni applicativi vulnerabili già presenti sulla macchina bersaglio.

In una campagna, per esempio, il RAT ha scaricato una copia di RegAsm.exe e vi ha iniettato codice aggiuntivo; successivamente, RegAsm.exe è diventato responsabile della gestione dei principali lavori di raccolta e di esfiltrazione dei dati. L’iniezione viene effettuata utilizzando il processo di hollowing, in cui le sezioni di memoria vengono “svuotate” per utilizzare lo spazio creato per inserire codice maligno.

Altri miglioramenti possono essere visti nel comportamento dell’esecuzione del malware. Al momento del lancio, questo raccoglie informazioni sul sistema locale, installa il modulo keylogger e inizializza le routine per la scoperta e la raccolta dei dati. Parte di questo processo include la possibilità di scoprire le impostazioni e le credenziali della rete wireless.

Come difendersi

Essendo una minaccia che si propaga principalmente via phishing, la prima linea di difesa deve passare direttamente dal fattore umano.

Riconoscere una mail di phishing è diventata oramai un skill imprescindibile a qualsiasi livello aziendale – dai dipendenti alla dirigenza -.

Investire sulla formazione e sull’awareness del personale può fare la differenza tra il mantenere intatto il proprio perimetro di difesa e il dover fare i conti con costosi cyber security incident.

Proprio per rispondere a questa esigenza, nasce il servizio di Phishing Attack Simulation che sottopone a simulazioni di attacco da parte di criminal hacker i dipendenti della tua azienda.

Effettuate con la giusta regolarità, queste sessioni formative sono l’antidoto migliore contro il pericolo phishing.

Un’altra componente chiave in una solida difesa è l’utilizzo della Cyber Threat Intelligence.

L’utilità della Cyber Threat Intelligence è evidente: aiuta le organizzazioni ad acquisire conoscenze preziose sulle minacce direttamente più incombenti, a costruire meccanismi di difesa efficaci (cyber resilience) e a mitigare i rischi che potrebbero danneggiare i loro profitti e la loro reputazione.

Questa capacità di intelligence include la raccolta e l’analisi di informazioni al fine di caratterizzare possibili minacce cyber dal punto di vista tecnico in relazione a contesti operativi specifici.

In breve, la Cyber Threat Intelligence diventa l’early warning necessario per sapere se siamo finiti nel mirino dei criminal hacker.

Conclusione

Il caso di Agent Tesla è emblematico: un RAT che continua ad aggiornarsi e ad aggiungere funzionalità, prova di come il cyber crime non resti mai fermo e – di conseguenza – di come la cyber security debba sempre essere attiva e in evoluzione.

Chi si ferma è perduto! Non abbassiamo la guardia.

WEBINAR
13 Ottobre 2022 - 10:00
Strutturare una comunicazione efficace tra la Forza di Vendita ed il Customer Service: scopri come!
Cloud
CRM
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr