Due ricercatori Sophos scoprono due nuove varianti del malware Agent Tesla

Un malware che compare periodicamente diffondendo campagne phishing molto dannose. Un malware che ha incrementato sempre di più le proprie armi d’attacco invadendo e sfruttando l’app Telegram.

Dopo ben 7 anni dalla prima comparsa di Agent Tesla, gli esperti di Sophos hanno scoperto due nuove varianti, Version 2 e Versione 3, molto più efficaci tanto da riuscire a portare a termine gli attacchi effettuati in modo più diretto.

Qualche anno fa l’Agent Tesla aveva portato avanti, nell’autunno del 2020, una campagna malspam molto aggressiva che aveva il compito di inviare e-mail da caselle di posta danneggiate a enti pubblici e società private italiane. Gli utenti ricevevano email di invito all’apertura di un allegato .xlsm, un semplice file Excel. File malevoli che avviano una catena infinita d’infezioni del malware.

Queste due nuove varianti, invece, sono in grado di usare il servizio Telegram, un servizio di messaggistica, per comunicare con i suoi operatori. Versione che hanno il compito di alterare il codice del software per bloccare la protezione di sicurezza.
Questo ha portato all’aumento del numero di applicazioni prese di mira per il furto di credenziali.

Le differenze tra le due nuove versione attualmente attive dimostrano come il RAT (Remote Access Trojan) si è nettamente evoluto, infatti ciò che si nota da diversi studi condotti è che le differenze tra la Versione 2 e la Versione 3 dell’Agent Tesla sembrano concentrarsi sul miglioramento del tasso di successo del malware contro sandbox e scanner malware.
Gli account di posta elettronica usati per diffondere l’Agent Tesla sono account legittimi ma compromessi.

Le aziende o gli individui stessi dovrebbero trattare con prudenza tutti gli allegati di posta elettronica ricevuti da mittenti sconosciuti e verificarli prima di aprirli.
Sophos Endpoint Protection è in grado di rilevare il malware del programma di installazione dell’agente Tesla e dello stesso RAT.