Il CERT-AgID segnala un aumento significativo dell’attività del malware AgentTesla sul territorio italiano, con un’accentuata enfasi sull’uso di allegati PDF nelle loro campagne di malspam. Questi documenti sono stati identificati come veicoli per l’infezione da codici JavaScript dannosi.
Gli operatori di AgentTesla hanno adottato una nuova strategia, cercando di ingannare i destinatari attraverso email che sollecitano di visualizzare urgentemente il documento allegato nella comunicazione. Una volta aperto il documento, gli utenti sono indotti a fare clic su un falso messaggio di errore e premere sul pulsante di Ricarica. Questa azione, in realtà, avvia il download di un file JavaScript dannoso.
Il file scaricato, camuffato da PDF tramite una doppia estensione “.pdf.js”, contiene codice JavaScript intenzionalmente oscurato. Questo codice mira a scaricare ed eseguire uno script PowerShell, prelevato da un repository Bitbucket, che a sua volta genera il malware AgentTesla.
Una caratteristica rilevante di questa nuova strategia è il caricamento diretto in memoria del binario generato dallo script PowerShell, evitando così di salvare il file su disco. Questo comportamento rende più difficile il rilevamento del malware e richiede un’analisi più approfondita per essere identificato.
Una volta compromessi, i sistemi infetti inviano le informazioni sensibili, quali l’hostname, le specifiche hardware e le credenziali, a un bot di Telegram. Questa pratica, già riscontrata in altre campagne di AgentTesla, indica un uso sempre più diffuso di piattaforme di messaggistica istantanea per l’esfiltrazione dei dati.
AgentTesla svolge un ruolo cruciale nell’ecosistema del crimine informatico, facilitando l’accesso a informazioni sensibili che possono essere sfruttate per attacchi più gravi, come quelli con ransomware. Il modello di distribuzione di AgentTesla come servizio su forum del dark web rende questo malware accessibile a una vasta gamma di attori, alimentando ulteriormente il rischio di attacchi informatici su larga scala.
Al fine di contrastare questa crescente minaccia, il CERT-AgID ha reso pubblici gli Indicatori di Compromissione (IoC) rilevati, fornendo così alle autorità e agli operatori di sicurezza le informazioni necessarie per rilevare e mitigare gli attacchi da parte di AgentTesla.