ASTesla: il nuovo malware che ruba dati, password e cookie
1 Dicembre 2021
Sempre più aziende si affidano a sistemi informatici all’avanguardia per far evolvere le proprie attività, ma Internet nasconde anche un lato oscuro. Sono molto gli individui con intenzioni malevole che sviluppano software dannosi con l’intento di infettare computer o dispositivi mobili per poter ricavare l’accesso ai dati personali presenti al loro interno e tali pratiche stanno aumentando sempre più e vanno di pari passo con l’evolversi delle tecnologie. Per far fronte a questo tipo di problemi sono nate molte società, come il CERT-AgID, con lo scopo di sviluppare servizi di sicurezza per proteggere le pubbliche amministrazioni, e non solo, ed aumentare il processo di divulgazione delle informazioni riguardo la sicurezza informatica.
Di recente il CERT-AgID ha ricevuto una e-mail in lingua inglese contenente il malware ASTesla, così battezzato dalla struttura per via della somiglianza con il vecchio Agent Tesla, che si insinua negli endpoint Windows per rubare dati, password e cookie all’insaputa degli utenti. Dunque, la versione evoluta di Agent Tesla si nasconde all’interno delle e-mail che sembrerebbero essere mandate da account fake di falsi amici, corrieri postali, datori di lavoro, clienti e così via.
Il funzionamento di ASTesla si divide in 4 blocchi: inizializzazione, installazione, comunicazione con il server C2 e furto dei dati. Bisogna prestare attenzione agli allegati che si presentano come file RAR compressi poichè una volta cliccati il malware si inserisce all’interno del percorso SoftwareMicrosoftWindowsCurrentVersionRun e SoftwareMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun da cui viene eseguito. Una volta riuscito ad infiltrarsi nel dispositivo, ASTesla rileva il nome del computer, dell’utente, l’ID hardware, la data ed eventuali dati aggiuntivi. Ogni 30 secondi si occupa di controllare lo stato delle attività e riesce a rubare dati anche tramite screenshot e keylogger, ovvero rilevando il testo digitato con la tastiera. La cattura degli screenshot è sospesa quando non viene rilevata alcuna attività sul dispositivo; dunque, il timer di 30 secondi serve per incrementare l’attività malevola durante le ore di utilizzo ed evitare di catturare istantanee schermo quando l’utente non è attivo. Il malware agisce proprio mentre gli utenti compiono le attività ordinarie, come navigare online o mandare email.
Secondo quanto rilevato dall’analisi del CERT-AgID, il malware ASTesla è in grado di rubare le credenziali, e non solo, di oltre 75 applicativi che sono legati alla sicurezza, alla posta elettronica ed ai browser; inoltre, riesce a sottrarre cookie da 41 dei browser più importanti del momento, come Firefox, Chrome, Opera, Edge ecc.