Una nuova variante del malware Agent Tesla è stata osservata mentre veniva distribuita tramite un file esca utilizzando il formato di compressione ZPAQ, con l’obiettivo di raccogliere dati da diversi client di posta elettronica e quasi 40 browser web. Agent Tesla, apparso per la prima volta nel 2014, è un keylogger e un trojan di accesso remoto (RAT) scritto in .NET, offerto ad altri attori di minacce come parte di un modello di malware-as-a-service (MaaS). Spesso utilizzato come payload di primo stadio, fornisce accesso remoto a un sistema compromesso e viene utilizzato per scaricare strumenti di secondo stadio più sofisticati, come ransomware.
Il formato ZPAQ e la sua efficacia
ZPAQ è un formato di compressione file che offre un rapporto di compressione migliore e una funzione di journaling rispetto a formati ampiamente utilizzati come ZIP e RAR. Tuttavia, il suo più grande svantaggio è il supporto software limitato. L’attacco inizia con un’email contenente un allegato file ZPAQ che pretende di essere un documento PDF. L’apertura estrae un eseguibile .NET gonfiato, per lo più imbottito di byte zero per gonfiare artificialmente la dimensione del campione a 1 GB, nel tentativo di eludere le misure di sicurezza tradizionali.
Tecniche di occultamento e obiettivi
La funzione principale dell’eseguibile .NET non archiviato è scaricare un file con estensione .wav e decrittografarlo. L’uso di estensioni di file comunemente utilizzate maschera il traffico come normale, rendendo più difficile per le soluzioni di sicurezza di rete rilevare e prevenire attività dannose. L’obiettivo finale dell’attacco è infettare il terminale con Agent Tesla, che è offuscato con .NET Reactor, un software legittimo di protezione del codice. Le comunicazioni di comando e controllo (C2) vengono effettuate tramite Telegram.
Implicazioni per la sicurezza e consigli
Questo sviluppo è un segno che gli attori delle minacce stanno sperimentando formati di file non comuni per la distribuzione di malware, necessitando che gli utenti stiano attenti a email sospette e mantengano aggiornati i loro sistemi. L’uso del formato di compressione ZPAQ solleva più domande che risposte, suggerendo che gli attori delle minacce potrebbero prendere di mira un gruppo specifico di persone con conoscenze tecniche o utilizzare strumenti di archiviazione meno noti, o stiano testando altre tecniche per diffondere malware, non solo Agent Tesla, più rapidamente ed eludere il software di sicurezza.