CSIRT Toscana Agent Tesla: rilevata campagna di distribuzione malware tramite email (AL01/240521/CSIRT-ITA)
Data:
21 Maggio 2024 13:53
Sintesi
È stata recentemente rilevata una campagna di distribuzione malware tramite e-mail volta a carpire informazioni sensibili dei sistemi target.
Descrizione e potenziali impatti
È stata recentemente rilevata una campagna di distribuzione malware tramite e-mail volta a carpire informazioni sensibili dei sistemi target.
Tale mail presenta un allegato in formato Disk Image (.IMG) – tipicamente utilizzato per memorizzare le immagini raw da volumi ottici o volumi magnetici in drive virtuali – contenente al proprio interno un file eseguibile malevolo con estensione .EXE o .BAT, attribuibile al trojan downloader GuLoader.
Qualora montato il volume virtuale ed avviato il relativo contenuto, il codice malevolo estrae le componenti del proprio eseguibile all’interno di sottocartelle opportunamente predisposte in \Appdata\Local. Successivamente lancia un comando PowerShell che inietta del codice binario nel processo lecito Windows Address Book – “wab.exe” – componente legittima di Windows utilizzata per gestire i contatti anche nelle applicazioni lecite People, Windows Mail e Microsoft Office Outlook.
Nel dettaglio, il binario iniettato procede al download di un payload malevolo con estensione .BIN da una risorsa remota, riconducibile al malware Agent Tesla.
Tale payload utilizza tecniche di elusione dei meccanismi di sicurezza, quali l’offuscamento del codice e la verifica che l’ambiente di esecuzione non sia virtualizzato (ad esempio tramite QEMU).
In caso di esito positivo, il malware colleziona informazioni relative al sistema target, ottiene la persistenza su di esso e procede all’esfiltrazione, mediante il protocollo SMTP (porta 587), delle informazioni ottenute
Mitre ATT&AK
| Tattica | ID | Tecnica |
|---|---|---|
| Command and Control | T1132.001 | Data Encoding: Standard Encoding |
| Defense Evasion | T1564.003 | Hide Artifacts: Hidden Window |
| Defense Evasion | T1027.009 | Obfuscated Files or Information: Embedded Payloads |
| Defense Evasion | T1055 | Process Injection |
| Discovery | T1012 | Query Registry |
| Discovery | T1082 | System Information Discovery |
| Discovery | T1057 | Process Discovery |
| Discovery | T1012 | Query Registry |
| Execution | T1059.001 | Command and Scripting Interpreter: PowerShell |
| Execution | T1059.003 | Command and Scripting Interpreter: Windows Command Shell |
Azioni di mitigazione
Gli utenti e le organizzazioni dovrebbero prestare attenzione al comportamento evidenziato da questa tipologia di malware, monitorando eventuali modifiche del registro di sistema effettuate da processi sospetti e il relativo traffico di rete.
Inoltre, possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing; diffidando da e-mail inattese e/o contenenti allegati con all’interno file archivio, drive virtuali e/o eseguibili (ad esempio file con estensioni “zip”, “rar”, “7z”, “img”, “iso”, “vbs”, “ps1”, “js”, “exe”, “bat”, ecc.)
- verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità.
Infine, si raccomanda di valutare l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)1 forniti in allegato.
1Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.