Malware Tesla: nuova variante sfrutta compressione ZPAQ negli attacchi

Agent Tesla è uno dei malware più diffusi e temuti al mondo. Nonostante sia presente sulla scena da quasi dieci anni, questo agente malevolo non smette di sorprendere gli esperti di sicurezza che si affannano ad arginare i suoi danni.

Attraverso una ricerca portata avanti dall’analista Anna Lvova di G Data, è stato possibile individuarne una nuova variante ancora più pericolosa delle precedenti. Questa infatti, distribuisce file esca via e-mail sfruttando il formato di compressione ZPAQ. In questo modo, Agent Tesla cerca di infiltrarsi attraverso i client di posta elettronica andando ad attaccare il browser Web della vittima.

Agent Tesla è un malware con funzioni tipiche dei trojan di accesso remoto (RAT) e dei keylogger. L’agente malevolo in questione è scritto in .NET e viene proposto sui market clandestini con la formula MaaS, ovvero Malware-as-a-Service.

La diffusione del malware avviene di solito attraverso e-mail di phishing, appoggiandosi a vulnerabilità presenti sul dispositivo delle potenziali vittime.

L’utilizzo della compressione ZPAQ rappresenta una novità nel contesto del cybercrimine

Evitando i classici formati ZIP e RAR, i cybercriminali puntano a “confondere” i sistemi di protezione e dunque ad infettare un numero maggiore di vittime.

I file in formato ZPAQ sono più piccoli rispetto agli altri archivi e risultano più pratici per chi diffonde malware, visto che permettono di risparmiare banda in fase di trasferimento. Un’altra caratteristica saliente di questo formato è il supporto software limitato, il che contribuisce a creare spazio d’azione per gli aggressori.

Il file ZPAQ viene diffuso come allegato, spacciato come un comune documento PDF. Una volta che questo viene eseguito, però, aumenta le proprie dimensioni a dismisura, raggiungendo 1 GB di spazio occupato e andando così ad evitare l’analisi della maggior parte di antivirus.

Una volta ottenuto l’accesso alla macchina, gli aggressori possono accedere alla stessa con un server di comando e controllo, sfruttando Telegram per lo scambio dati.

Per Anna Lvova, questo nuovo modus operandi è alquanto preoccupante. Al momento non si conosce il reale motivo dell’utilizzo di questo formato insolito. Il dubbio è se questo serva per prendere di mira un determinato target o se si tratti semplicemente di un test su vasta scala, per provare nuovi metodi di diffusione malware.