Agent Tesla di nuovo in pista, ruba anche le password Wi-Fi
Il trojan di accesso remoto Agent Tesla è tornato più in forma che mai. Ora ruba anche le password Wi-Fi e le credenziali email di Outlook.
Dridex si riconferma il malware più diffuso in Italia. A preoccupare di più, tuttavia, è il ritorno del trojan di accesso remoto Agent Tesla, che si è evoluto. Proprio quest'ultimo ha conquistato in brevissimo tempo il terzo posto della classifica Global Threat Index di Check Point Research, relativa al mese di aprile 2020.
Partendo da Dridex, è un banking trojan insidioso perché prende di mira la piattaforma Windows. Viene distribuito tramite campagne spam e kit di exploit e si affida a WebInjects per intercettare e reindirizzare le credenziali bancarie al server di controllo degli aggressori. Può anche scaricare ed eseguire moduli aggiuntivi per il controllo da remoto. Ad aprile in Italia ha avuto un impatto sulle aziende pari al 12%, contro una media mondiale del 4%.
Approfittiamo per ricordare che Dridex approfitta di una delle 10 vulnerabilità più sfruttate negli ultimi 4 anni, la CVE-2017-0199 che Office 2007 SP3, 2010 SP2, 2013 SP1 e 2016, Windows Vista SP2, Server 2008 SP2, Windows 7 SP1 e Windows 8.1. Esiste la patch, è imperativo installarla.
L'insidia che preoccupa maggiormente è tuttavia una nuova variante del trojan di accesso remoto Agent Tesla. Non tanto perché ha scalato la classifica fino al terzo posto, quanto perché si è evoluto. La nuova variante riesce a rubare le password Wi-Fi e altre informazioni sensibili dai computer colpiti. Oltre alle credenziali email di Outlook.
Si è diffuso come file malevolo allegato a diverse campagne legate al COVID-19. Le mail di phishing che lo vedevano protagonista promettevano nuove e importanti informazioni sul vaccino anti coronavirus e i risultati ottenuti. L'obiettivo era indurre le potenziali vittime a scaricare il file dannoso. Maya Horowitz, Director, Threat Intelligence & Research, Products at Check Point, ricorda come "i criminali informatici possano essere agili quando si tratta di sfruttare gli eventi di cronaca e di indurre le vittime per fare clic su un link infetto".
Altro aspetto importante accomuna i due malware di cui abbiamo parlato è che indicano che i criminali informatici si stiano concentrando sul furto dei dati e delle credenziali sia personali sia aziendali. È quello che permette loro di monetizzare.
Partendo da Dridex, è un banking trojan insidioso perché prende di mira la piattaforma Windows. Viene distribuito tramite campagne spam e kit di exploit e si affida a WebInjects per intercettare e reindirizzare le credenziali bancarie al server di controllo degli aggressori. Può anche scaricare ed eseguire moduli aggiuntivi per il controllo da remoto. Ad aprile in Italia ha avuto un impatto sulle aziende pari al 12%, contro una media mondiale del 4%.
Approfittiamo per ricordare che Dridex approfitta di una delle 10 vulnerabilità più sfruttate negli ultimi 4 anni, la CVE-2017-0199 che Office 2007 SP3, 2010 SP2, 2013 SP1 e 2016, Windows Vista SP2, Server 2008 SP2, Windows 7 SP1 e Windows 8.1. Esiste la patch, è imperativo installarla.
L'insidia che preoccupa maggiormente è tuttavia una nuova variante del trojan di accesso remoto Agent Tesla. Non tanto perché ha scalato la classifica fino al terzo posto, quanto perché si è evoluto. La nuova variante riesce a rubare le password Wi-Fi e altre informazioni sensibili dai computer colpiti. Oltre alle credenziali email di Outlook. Si è diffuso come file malevolo allegato a diverse campagne legate al COVID-19. Le mail di phishing che lo vedevano protagonista promettevano nuove e importanti informazioni sul vaccino anti coronavirus e i risultati ottenuti. L'obiettivo era indurre le potenziali vittime a scaricare il file dannoso. Maya Horowitz, Director, Threat Intelligence & Research, Products at Check Point, ricorda come "i criminali informatici possano essere agili quando si tratta di sfruttare gli eventi di cronaca e di indurre le vittime per fare clic su un link infetto".
Altro aspetto importante accomuna i due malware di cui abbiamo parlato è che indicano che i criminali informatici si stiano concentrando sul furto dei dati e delle credenziali sia personali sia aziendali. È quello che permette loro di monetizzare.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
