E' una presenza fissa e ricorrente in tutti i report che, settimanalmente, il CERT-AGID produce rispetto alle campagne di attacco e ai malware diffusi nel cyber spazio italiano: parliamo di AgentTesla, uno spyware attivo ormai fin dal 2014. In Italia ha una diffusione continua e costante, settimana per settimana, diffuso in campagne email mirate contro utenti italiani. Vediamolo in dettaglio.
AgentTesla: cronistoria
AgenTesla è attivo fino dal 2014, anno in cui, per la prima volta, è stato individuato in uso in attacchi reali. E'un trojan acquistabile online scritto in .NET. Ha sempre avuto funzionalità di furto credenziali, poi nel tempo ha aggiunto ulteriori moduli, compresi quelli che lo hanno reso anche un keylogger ovvero un malware capace di registrare tutte le battiture sulla tastiera del dispositivo infetto. Ad ora ha anche la capacità di rubare i dati dagli appunti, di raccogliere le informazion sul sistema e di arrestarele soluzioni anti malware e i software di analisi dei processi.
Nel 2019 ha occupato il 2° posto nella top10 delle principali minacce pubblicata annualmente da Any.Run, con oltre 10.000 sample caricati in quell'anno.
Lo scorso anno è stato ulteriormente aggiornato e migliorato: nell'Agosto 2020 infatti è stata individuata in diffusione una nuova variante. Questa versione ha dei moduli dedicati al furto delle credenziali dai web browser, dai software WPN, dai client email e dagli FTP. E' molto usato nelle campagne di phishing e nelle campagnbe BEC. Pochi mesi prima i ricercatori di sicurezza di SPamhaus Malware Lab's avevano registrato una crescita di oltre il 770% delle botnet C2C associate a questa famiglia malware.
Furto credenziali: qualche dettaglioI vari moduli per il furto delle credenziali rendono AgenTesla capace di raccoglierre sia le informazioni di configurazione che le credenziali dell'utente da una gran quantità di software e applicativi molto popolari. Può cioè estrarre credenziali sia dal registro che dalle confiturazioni, così come dai file di supporto. Qualche esempio di applicazioni colpite da AgenTesla: Google Chrome. Chromium, Safari, Brave, FileZilla, Firefox, Thunderbird, OpenVPN e Outlook, ma potremmo continuare a lungo...
Una volta raccolte le credenziali e i dati di configurazione delle app, AgenTesla le invia al proprio server di comando e controllo C" via FTP o via STMPG: per farlo utilizza credenziali presenti nelle proprie configurazioni interne.
Il modulo per il furto delle password del wi-fi
Una delle aggiunte più recenti è un apposito modulo per il furto delle credenziali delle connesioni WiFi dal dispositivo rubato. Il fine è quello di utilizzare il wifi per diffondersi a tutti gli altri dispositivi connessi alla stessa rete wirless. E' un modulo altamente offuscato difficile da analizzare: quanto scoperto dai ricercatori di sicurezza conferma che è pensatoper raccogliere le credenziali wireless usando il comando a netsg con l'argomento wlan show profile per elencare tutti i profili Wifi disponibili.
Per ottenere la password dagli SSID individuati, esegue un nuovo comando netsh aggiungendo l'SSDI e l'argomento key=clear: in questa maniera ottiene le password in chiaro di tutti i profili wifi.
Le password in chiaro
Come viene diffuso
AgentTesla è diffuso quasi esclusivamente tramite via email, tramite massive campagne di phishing. La maggior parte dei casi è ben nascosto entro documenti Office contenenti macro dannose. Tavolta però sono usati anche altri formati per la sua diffusione: ad esempio molto utilizzato è il formato archivio .ZIP, molto utile per eludere i controlli di sicurezza, ma anche i formati .CAB, .MSI, .IMG.