Scoperto un trojan-stealer nelle e-mail di spam ricevute dalle aziende

I criminali informatici stanno inviando alle aziende imitazioni di alta qualità di e-mail commerciali con un trojan spia in allegato.

È in corso una nuova campagna di mass-mailing dannosa rivolta ai dipendenti delle aziende; tale minaccia utilizza un allegato contenente lo spyware Agent Tesla. In questo caso, quando gli hacker creano le email, prestano particolare attenzione ai dettagli, in modo che i loro messaggi possano essere scambiati per normali e-mail aziendali con documenti in allegato. Il loro obiettivo finale è quello di indurre il destinatario ad aprire il file allegato per poi eseguire il file dannoso.

Perché questa campagna di email dannosa è speciale?

Innanzitutto, i cybercriminali utilizzano aziende reali come copertura: includono nelle loro e-mail loghi reali e firme dall’aspetto autentico. Il loro inglese, però, è tutt’altro che perfetto, quindi fingono di essere residenti in paesi non anglofoni (Bulgaria o Malesia, per esempio), in modo da destare meno sospetti.

Gli hacker inviano il file dannoso spacciandosi per molte aziende, modificando il testo di volta in volta. Spesso chiedono ai dipendenti dell’azienda i prezzi di determinati prodotti presumibilmente indicati nel file allegato; mentre, altre volte, la richiesta riguarda la disponibilità di un determinato prodotto in magazzino. Gli stratagemmi sono tanti e probabilmente non abbiamo visto tutte le versioni del testo che i ladri utilizzano per adescare le loro vittime. Ad ogni modo, l’idea è quella di convincere il destinatario a verificare quale tipo di merce sia interessato questo pseudo-cliente. I cybercriminali si sono impegnati molto nella fase di preparazione, il che non è tipico di queste campagne di mailing di massa. In precedenza, abbiamo osservato tecniche di questo tipo utilizzate solo in attacchi mirati.

Un esempio di email dannosa che contiene Agent Tesla in allegato.

Un esempio di email dannosa che contiene Agent Tesla in allegato.

Dal punto di vista del destinatario, l’unico campanello d’allarme risiede nell’indirizzo del mittente. Il nome di dominio raramente corrisponde a quello dell’azienda, mentre il nome del mittente differisce da quello della firma, il che non è tipico degli indirizzi commerciali autentici. Nell’esempio precedente, l’e-mail viene inviata dall’indirizzo “newsletter@”, che può andare bene per una campagna mailing di marketing, ma non è assolutamente normale per un’email con una richiesta di prezzi per un preventivo.

Che cos’è il trojan Agent Tesla?

Agent Tesla, identificato dalle nostre soluzioni come Trojan-PSW.MSIL.Agensla, è un malware piuttosto vecchio, che ruba informazioni riservate e le invia agli autori dell’attacco. Prima di tutto, va a caccia di credenziali memorizzate in diversi programmi come browser, client di posta elettronica, client FTP/SCP, database, strumenti di amministrazione remota, applicazioni VPN e diversi instant messenger. Tuttavia, Agent Tesla è anche in grado di rubare i dati delle clipboard, registrare i tasti che vengono premuti sulla tastiera e scattare screenshot.

Agent Tesla invia tutte le informazioni raccolte agli hacker tramite e-mail. Tuttavia, alcune modifiche del malware sono in grado di trasferire i dati anche tramite il messenger Telegram o di caricarli su un sito web o un server FTP.

Potete trovare ulteriori informazioni su questo malware e sulla campagna, nonché sugli indicatori di compromissione, in questo post di Securelist.

Come proteggersi

In teoria, queste cyberminacce dovrebbero essere bloccate già in fase iniziale, ovvero quando un’email dannosa raggiunge un server email aziendale. Sebbene ad occhio nudo non sia sempre possibile scovare gli errori e identificarla rapidamente come una minaccia, gli scanner di posta elettronica sono generalmente in grado di svolgere questo tipo di compiti. È quindi una buona idea proteggere il server di posta elettronica con un’adeguata soluzione di sicurezza.

Inoltre, sarebbe opportuno prendere in considerazione l’idea di aumentare il livello di preparazione in materia di cybersecurity dei dipendenti, ad esempio, utilizzando le piattaforme di online learning.

Per assicurarvi che il malware inviato dagli hacker non venga mai eseguito, potreste anche dotare i computer dei vostri dipendenti di una solida e adeguata soluzione di sicurezza.

Consigli