Agile.NET è un offuscatore commerciale per assembly .NET già conosciuto in letteratura ma che ha recentemente1 cambiato o introdotto la modalità di cifratura dei metodi. Agile.NET 6.6 usa un duplice fronte di azione: da un lato compie le usuali manipolazioni delle istruzioni CIL, come ad esempio l’utilizzo di CFF, l’utilizzo di delegate per nascondere il […]

Abbiamo scritto, non molto tempo fa, di un campione ASTesla che utilizzava Telegram per l’esfiltrazione delle credenziali delle vittime.In quell’articolo avevamo evidenziato come il malware facesse uso della vulnerabilità CVE-2017-11882 che colpisce l’equation editor. In questo nuovo articolo vogliamo approfondire la vulnerabilità e creare uno strumento per l’analisi del payload che non richieda l’utilizzo di […]

Di ASTesla, parente stretto di AgentTesla, abbiamo già parlato, evidenziando come tra i suoi metodi di esfiltrazione figurassero l’invio di e-mail, l’upload su FTP, una richiesta POST (eventualmente tramite TOR) o l’utilizzo di un bot Telegram. Ma una cosa è la teoria ed una è la pratica: ci è capitato, nella giornata di ieri, un […]

jRAT, noto anche come Adwind, è un Remote Access Trojan commerciale scritto in Java che nel corso degli anni si è evoluto nelle funzionalità, fino a diventare uno dei più noti RAT modulari e multipiattaforma. Attivo e noto nel panorama italiano a partire dal 2018 con campagne mirate a tema “Delivery”, come quella riscontrata lunedì […]

Capita frequentemente di trovarsi di fronte a codice assembly .NET offuscato, come ad esempio Matiex (404Keylogger) e MassLogger. Gli offuscatori si distinguono tra di loro per le proprietà dell’assembly che vanno ad offuscare: ne sono esempi il nome dei metodi o le stringhe, e per la tecnica usata per implementare l’offuscamento. Un possibile bersaglio dell’offuscatore […]

Come anticipato nella sintesi riepilogativa di venerdì scorso, SmokeLoader ha fatto la sua comparsa in Italia con una serie di campagne aventi come oggetto l’ Agenzia delle Entrate, veicolate nella giornata di martedi 22 settembre e per le quali il CERT-AgID ha rapidamente diramato 34 IoC a tutela delle strutture accreditate. SmokeLoader, in vendita nei […]

Il malware è stato veicolato nella giornata di ieri tramite e-mail scritte in italiano, a tema TNT, contenente un allegato con estensione RAR e denominato WAY-Bill.rar. Al suo interno sono presenti due eseguibili Spedizione.exe e Invoice.exe che svolgono la medesima attività. Il malware, noto come Matiex o 404Keylogger, è scritto in .NET ma è annidato […]

Il malware è giunto al CERT-AGID tramite un’e-mail scritta in lingua inglese, a tema DHL, contenente un allegato con estensione gz e dal nome sulle linee di DHL STATEMENT OF ACCOUNT – 1606411788.L’archivio risulta essere un file RAR, formato più consono agli ambienti Windows di quanto lo siano gli archivi GZIP, con all’interno un file […]

In questo ultimo periodo il CERT-AgID ha condiviso con le organizzazioni accreditate diversi indicatori di compromissione relativi al malware denominato Qarallax veicolato, in diverse occasioni, tramite campagne a tema DHL. Qarallax è un malware di tipo cross-platform RAT che viene veicolato come archivio JAR e presenta controlli validi per Windows, Linux e macOS. Il codice […]

MassLogger è un infostealer e keylogger che ha fatto recentemente ingresso nel vasto panorama dei malware in circolazione. Scritto in .NET, la sua modalità di funzionamento ricorda da vicino quella di AgentTesla. Al momento, non risulta essere stato usato in campagne su obiettivi italiani ma, poichè è acquistabile a buon mercato (disponibile qui a 45$ […]