AgentTesla continua a innovare, sfruttando il CLR .NET per condurre attacchi fileless. Questa tecnica ancora più evasiva sfugge ai metodi di rilevamento tradizionali.
A tutti gli appassionati di cybersecurity, la recente campagna di malware AgentTesla non sarà di certo passata inosservata. Tale campagna, analizzata a fondo da SonicWall, ha evidenziato come gli aggressori abbiano utilizzato macro VBA nei documenti Word per condurre un attacco di iniezione fileless; un approccio insidioso in cui il payload dannoso viene trasportato direttamente nella RAM del computer, aggirando i dischi rigidi.
Particolare sconcertante è che i malintenzionati hanno sfruttato il meccanismo di hosting CLR, un sistema che permette ai processi nativi Windows l’esecuzione di codice .NET. Questo è reso possibile grazie alle librerie .NET caricate dinamicamente, in grado di permettere al malware di operare senza lasciare file sul disco.
Il malware possiede una caratteristica unica: la capacità di disabilitare il sistema Event Tracing for Windows (ETW) alterando l’API “EtwEventWrite”. In aggiunta, lo shellcode che contiene il caricamento di AgentTesla viene scaricato ed eseguito attraverso l’API “EnumSystemLocalesA“.
Nel tentativo di seminare confusione tra le fila dei difensori, lo shellcode utilizza l’hashing per determinare dinamicamente API come VirtualAlloc e VirtualFree, evitando così il rilevamento. Giunge quindi a un punto critico, dove alloca memoria e scrive il caricamento AgentTesla decodificato per eseguirlo.
Se dovessero mancare DLL richieste, il malware le carica attraverso la funzione LoadLibraryA. Similmente, per non farsi scoprire, lo shellcode disabilita la scansione AMSI modificando le funzioni “AmsiScanBuffer” e “AmsiScanString”.
Il malware utilizza l’hosting CLR per eseguire il codice .NET dannoso, creando un’istanza del runtime CLR, cercando una versione adatta di .NET, carica il codice dannoso nell’AppDomain e lo esegue. Una volta che il processo dannoso entra nella RAM, lo shellcode distrugge i dati caricati, impedendone il rilevamento.
Da quanto emerge, è chiaro come gli hacker stiano ricercando metodi sempre più sofisticati per infettare i sistemi con malware, bypassando i metodi di rilevamento tradizionali. Tali tecniche avanzate inducono a un miglioramento continuo dei meccanismi di difesa a tutti i livelli per garantire una sicurezza informatica adeguata.