Sophos scopre due nuove varianti del malware Agent Tesla

Il malware periodicamente ricompare diffondendo campagne phishing molto dannose.

ransomware

Gli esperti di cybersicurezza di Sophos hanno individuato due nuove varianti del malware Agent Tesla ancora più dannose e mirate. Infatti a distanza di 7 anni dalla prima comparsa del trojan Agent Tesla, i ricercatori hanno individuato Version 2 e Version 3, ancora più efficaci.

Nato come keylogger e infostealer, negli anni Agent Tesla ha assunto i connotati di un potente RAT per il controllo completo da remoto del target. Aggiungendo ulteriori capacità spyware in grado di carpire oltre che impostazioni e account wifi anche credenziali di client di posta elettronica, VPN e browser.

Nel nostro paese, Agent Tesla aveva imperversato soprattutto nell’autunno del 2020 attraverso un’aggressiva campagna malspam. Quest’ultima inviava e-mail da caselle di posta compromesse a enti pubblici e società private italiani. Invitando il destinatario ad aprire come allegato un file .xlsm ovvero un foglio di calcolo excel abilitato per le macro facente riferimento ad un ipotetico ordine effettuato dall’azienda. In realtà la macro excel conteneva un file eseguibile malevolo, il quale avviava la catena d’infezione del malware.

Sophos malware Agent Tesla

Le due nuove varianti identificate dai ricercatori Sophos sono in grado di utilizzare il servizio di messaggistica Telegram per comunicare con i suoi operatori. Così come il programma software Tor (molto popolare sul dark web) per nascondere attività come la rimozione dei dati rubati.  Inoltre, le nuove versioni di Agent Tesla puntano ad alterare il codice del software per bloccare la protezione di sicurezza.

Inoltre, l’evoluzione di Agent Tesla sta comportando il sensibile aumento del numero di applicazioni prese di mira per il furto delle credenziali, compresi browser Web, client di posta elettronica, client VPN e altri software che memorizzano nomi utente e password.