Trojan-stealer nelle e-mail di spam ricevute dalle aziende

  Assistenza e consulenza informatica Business, IT Security, MSP e infrastrutture, a Milano dal 2001.
Partner: Microsoft | Zyxel | F-secure | SentinelOne | Lenovo | Synology
Lun - Ven 08.00/18.00
Vai ai contenuti

Trojan-stealer nelle e-mail di spam ricevute dalle aziende

PCDUE Assistenza COMPUTER e NOTEBOOK | Milano dal 2001
Pubblicato da Fabio in Sicurezza · 9 Ottobre 2022
Tags: #trojan#stealer#spam#virus
È in corso una nuova campagna di mass-mailing dannosa rivolta ai dipendenti delle aziende; tale minaccia utilizza un allegato contenente lo spyware Agent Tesla. In questo caso, quando gli hacker creano le email, prestano particolare attenzione ai dettagli, in modo che i loro messaggi possano essere scambiati per normali e-mail aziendali con documenti in allegato. Il loro obiettivo finale è quello di indurre il destinatario ad aprire il file allegato per poi eseguire il file dannoso.
Perché questa campagna di email dannosa è speciale?
Innanzitutto, i cybercriminali utilizzano aziende reali come copertura: includono nelle loro e-mail loghi reali e firme dall’aspetto autentico. Il loro inglese, però, è tutt’altro che perfetto, quindi fingono di essere residenti in paesi non anglofoni (Bulgaria o Malesia, per esempio), in modo da destare meno sospetti.
Gli hacker inviano il file dannoso spacciandosi per molte aziende, modificando il testo di volta in volta. Spesso chiedono ai dipendenti dell’azienda i prezzi di determinati prodotti presumibilmente indicati nel file allegato; mentre, altre volte, la richiesta riguarda la disponibilità di un determinato prodotto in magazzino. Gli stratagemmi sono tanti e probabilmente non abbiamo visto tutte le versioni del testo che i ladri utilizzano per adescare le loro vittime. Ad ogni modo, l’idea è quella di convincere il destinatario a verificare quale tipo di merce sia interessato questo pseudo-cliente. I cybercriminali si sono impegnati molto nella fase di preparazione, il che non è tipico di queste campagne di mailing di massa. In precedenza, abbiamo osservato tecniche di questo tipo utilizzate solo in attacchi mirati.

Un esempio di email dannosa che contiene Agent Tesla in allegato.
Dal punto di vista del destinatario, l’unico campanello d’allarme risiede nell’indirizzo del mittente. Il nome di dominio raramente corrisponde a quello dell’azienda, mentre il nome del mittente differisce da quello della firma, il che non è tipico degli indirizzi commerciali autentici. Nell’esempio precedente, l’e-mail viene inviata dall’indirizzo “newsletter@”, che può andare bene per una campagna mailing di marketing, ma non è assolutamente normale per un’email con una richiesta di prezzi per un preventivo.
Che cos’è il trojan Agent Tesla?
Agent Tesla, identificato dalle nostre soluzioni come Trojan-PSW.MSIL.Agensla, è un malware piuttosto vecchio, che ruba informazioni riservate e le invia agli autori dell’attacco. Prima di tutto, va a caccia di credenziali memorizzate in diversi programmi come browser, client di posta elettronica, client FTP/SCP, database, strumenti di amministrazione remota, applicazioni VPN e diversi instant messenger. Tuttavia, Agent Tesla è anche in grado di rubare i dati delle clipboard, registrare i tasti che vengono premuti sulla tastiera e scattare screenshot.
Agent Tesla invia tutte le informazioni raccolte agli hacker tramite e-mail. Tuttavia, alcune modifiche del malware sono in grado di trasferire i dati anche tramite il messenger Telegram o di caricarli su un sito web o un server FTP.
Potete trovare ulteriori informazioni su questo malware e sulla campagna, nonché sugli indicatori di compromissione, in questo post di Securelist.
Come proteggersi
In teoria, queste cyberminacce dovrebbero essere bloccate già in fase iniziale, ovvero quando un’email dannosa raggiunge un server email aziendale. Sebbene ad occhio nudo non sia sempre possibile scovare gli errori e identificarla rapidamente come una minaccia, gli scanner di posta elettronica sono generalmente in grado di svolgere questo tipo di compiti. È quindi una buona idea proteggere il server di posta elettronica con un’adeguata soluzione di sicurezza.
Inoltre, sarebbe opportuno prendere in considerazione l’idea di aumentare il livello di preparazione in materia di cybersecurity dei dipendenti, ad esempio, utilizzando le piattaforme di online learning.
Per assicurarvi che il malware inviato dagli hacker non venga mai eseguito, potreste anche dotare i computer dei vostri dipendenti di una solida e adeguata soluzione di sicurezza.


CAO s.a.s. di Maurizio Oliverio
Sede Legale: Viale Sondrio, 7
20124 Milano
P.I. 08966930961
Marchi e Loghi dei rispettivi proprietari.
Copyright 2001 - 2024
Dal 2001 PCDUE offre e sviluppa le migliori soluzioni per rendere la tua impresa competitiva e sicura, sfruttando le più recenti tecnologie informatiche.
La consulenza informatica si traduce in innovazione tecnologica, cybersecurity, procedure semplificate e sicurezza dei dati Aziendali.
Aiutiamo aziende di piccole e medie dimensioni nella progettazione dell’infrastruttura informatica adeguata per essere competitivi e vincenti sul mercato.
PCDUE si occupa di assistenza tecnica da oltre venti anni, garantendo ai propri clienti Business un servizio efficace ed efficiente. Le aziende a cui offriamo un servizio di assistenza PC sono di diversa tipologia: dalle microimprese fino alle aziende Enterprise, passando per le PMI, negozi e gli studi professionali appartenti a svariati settori.
Siamo Partner ufficiali dei più importanti player IT a livello mondiale.
Microsoft - Dell - Lenovo - WD - SentinelOne - Ninja Rmm - Synology - Zyxel
Siamo MSP ed eroghiamo servizi RMM.
La tecnologia è fondamentale per le aziende moderne. Di conseguenza, il professionista IT è diventato una delle figure chiave in ufficio: le sue azioni consentono di far funzionare tutta l'infrastruttura.
Non tutte le aziende dispongono però di personale IT. Esistono altri modi per soddisfare le esigenze IT di un'azienda senza dover creare un reparto IT in-house, l' Msp.
it security PCDUE
Ultimo aggiornamento del Sito 17/01/2024
Torna ai contenuti