Agent Tesla, qualche consiglio per difendervi

Nel 2020 è tornato alla ribalta "Agent Tesla", "un remote access trojan", ovvero un malware che può essere scaricato da Internet o che viene installato sul computer a insaputa della vittima, nato circa sei anni fa.

Nel primo semestre di questo anno è stato infatti il malware più diffuso al mondo, l'aspetto interessante della vicenda è legato a come Agent Tesla è riuscito a propagarsi: il phishing e il social engineering, adattandosi continuamente ai cambiamenti di scenario.

Nei primi mesi dell'anno la pandemia legata a SARS-CoV-2 ha rappresentato il canale perfetto per una nuova enorme diffusione di Agent Tesla: il gruppo di cybercriminali responsabile della diffusione di questo RAT ha sfruttato efficacemente la diffusione incontrollata dello smartworking e il senso di urgenza in qualsiasi comunicazione legata a covid-19 per convincere gli utenti ad aprire la mail con all'interno il malware.

Nella seconda parte dell'anno invece, con il ritorno ad una "nuova normalità", i cybercriminali hanno cambiato il tema delle campagne di phishing, che ora sono maggiormente mirate alle aziende e personalizzate sulla specifica realtà oggetto di attacco.

Agent Tesla e le aziende italiane

Questo malware sta avendo particolarmente successo in Italia. JAMESWIT, un indipendent malware hunter, ha recentemente condiviso attraverso il proprio account Twitter lo screenshot di una finta fattura proveniente da una azienda estera realmente esistente e indirizzata a un’organizzazione italiana.

Il testo era in spagnolo e conteneva le classiche frasi utilizzate per trarre in inganno l'utente, inducendolo a pensare che vi sia allegato un documento importante. Il malware era codificato all’interno dell’allegato (una finta fattura), in formato .gz. Se estratto ed eseguito, questo allegato avviava la catena di infezione del malware.

Le segnalazioni di mail di questo tipo si sono susseguite nei giorni successivi: millantavano di provenire da aziende anche molto note, con domini che ricordavano quelli dell’azienda e che potevano facilmente trarre in inganno gli utenti meno attenti.

L’importanza del fattore umano

Quando si parla di phishing lo strumento più adeguato per prevenire un attacco è lavorare sulla consapevolezza dei propri collaboratori in modo da metterli nelle condizioni di riconoscere una potenziale minaccia. Difficilmente infatti soluzioni tecnologiche possono essere efficaci contro minacce che fanno leva su aspetti sociali e "debolezze" umane (senso di urgenza, guadagno personale, ecc.).

Partendo da questi principi abbiamo sviluppato una soluzione che preveda:

• Moduli formazione
• Campagne di phishing personalizzate
• Gestione e reportistica

Fragma Security Awareness nasce dal presupposto che una formazione puramente teorica, come dimostrato da varie ricerche, non è sufficiente per preparare adeguatamente gli utenti ad affrontare le minacce a cui vanno incontro, sia perché risulta difficile tradurre nella pratica i concetti teorici, sia perché le minacce cambiano così frequentemente da rendere spesso obsoleti gli esempi presenti nella formazione.

Fragma attraverso i suoi specialisti eroga campagne di phishing altamente personalizzate sia in funzione del contesto in cui opera l'azienda, sia per quanto riguarda la tipologia di campagne più comuni nel momento dell'erogazione.

Ad esempio se la formazione è erogata a una realtà che utilizza gli strumenti di Microsoft 365, le campagne si focalizzeranno sull'utilizzo di template simili alle mail provenienti da OneDrive, Teams e così via oppure se si tratta di una realtà che si occupa di logistica le campagne potrebbero essere incentrate su richieste provenienti dai principali corrieri.

A questo si aggiunge la componente di gestione della piattaforma. La formazione degli utenti dovrebbe essere un'attività in carico alle risorse umane, ma quando si parla di sicurezza informatica spesso questo compito ricade sul reparto IT, solitamente già oberato da molte altre attività. Fragma si occupa quindi non solo di preparare ed erogare le campagne di phishing, ma di gestire tutto il processo di formazione controllando che gli utenti seguano i corsi (e li superino con successo), verificando l'efficacia delle simulazioni e tracciando i miglioramenti. Il cliente riceverà poi periodicamente dei report riportanti tutte le informazioni, che quindi potranno anche essere allegate ai piani di formazione oppure ai documenti dedicati a GDPR e ISO 27001, se presenti.

Infine, un ultimo aspetto fondamentale per garantire continuità al processo di formazione: le minacce cambiano costantemente e i cybercriminali aggiornano in continuazione le proprie tecniche di attacco per adeguarsi alle contromisure introdotte. Per questo è necessario considerare il processo di formazione come un'attività, se non continua, almeno periodica.