Agent Tesla
Il Nemico Digitale che si Maschera da Mittente Innocuo
Nella scacchiera del cyber spazio, una nuova minaccia si agita nell’ombra insinuando il caos nelle nostre reti digitali.
Il suo nome è Agent Tesla, un Remote-Access-Trojan con funzioni di infostealer, spyware e keylogger.
Nato nel 2014, questa pericolosa minaccia si diffonde principalmente attraverso le e-mail di phishing, agendo come un lupo travestito da agnello.
Agent Tesla non è un nemico ordinario.
Fornisce servizi basati su un modello M-a-a-S, permettendo ai suoi partner di veicolare e-mail malevole da indirizzi IP di servizi VPS. La minaccia si propaga tramite file .zip, .rar o .gz, che rilasciano il malware non appena vengono aperti.
Come fa Agent Tesla a infiltrarsi nelle nostre reti?
La risposta è semplice: l’inganno.
I messaggi di posta elettronica veicolati da Agent Tesla sono spesso mascherati per apparire come se provenissero da figure di autorità o di fiducia. Tramite tecniche di spoofing, il nome visualizzato nel campo del mittente viene modificato per impersonare figure chiave personali, di aziende o di organizzazioni collegate alla vittima.
La pericolosità di Agent Tesla si esprime in tutta la sua forza quando le sue e-mail malevole vengono aperte. Si infiltra nel sistema della vittima attraverso l’utilizzo di file Excel dotati di macro malevole; l’infezione avviene non appena l’allegato viene aperto.
Una volta dentro, si nasconde con abilità, passando attraverso vari livelli di decompressione prima di sganciare il suo payload finale.
Il suo comportamento ricorda quello di un altro famigerato malware, Formbook.
Agent Tesla non si ferma qui.
Questo malware impiega la steganografia per nascondere la sua presenza, raccogliendo nel frattempo una vasta gamma di informazioni. Dalle e-mail di Outlook alle credenziali salvate nei vari browser e client FTP, dalle informazioni del sistema alle catture dello schermo e alle sequenze di tasti, nulla sfugge al suo occhio digitale.
Il modo in cui Agent Tesla estrae queste informazioni è particolarmente astuto.
Una volta che ha sfruttato un’immagine di risorsa arricchita con un file .PE per generare un secondo modulo .dll, avvia un processo complesso e sofisticato di offuscamento e decodifica, culminando con il rilascio del payload finale. Questo consente ad Agent Tesla di infiltrarsi con il suo codice malevolo nel sistema bersaglio e di prelevare i dati catturati mediante l’uso dei servizi web HTTP, SMTP e FTP.
L’accessibilità di questo RAT sul deep web ne ha intensificato la pericolosità e ne ha ampliato la notorietà, attirando l’interesse degli specialisti in sicurezza informatica che lavorano incessantemente per rilevare e neutralizzare questa minaccia, implementando robuste strategie di mitigazione.
Agent Tesla costituisce una minaccia tangibile nel panorama digitale; tuttavia, armati di consapevolezza e preparazione, è possibile fronteggiare efficacemente questo pericolo.
Ricorda, il nemico può celarsi nell’ombra, ma non è invincibile.
