Fonte immagine: Krebs on Security. Una schermata del software Agent Tesla.
Agent Tesla è un malware “ruba password” noto agli esperti di sicurezza fin dal 2014 che ha avuto modo di “reinventarsi” passando ad un più economicamente fruttuoso modello commerciale “on demand”: per quanto sorprendente possa apparire la vicenda, il trend di offrire servizi (attacchi DDoS) o software malevoli a pagamento non è inedito ed anzi, ha affermato più volte lo stesso Brian Krebs (alcuni lo ricorderanno per l’articolo riguardante la truffa segnalata dalla Polizia di Stato), si è consolidato negli ultimi anni. Nel post di oggi riprenderemo le parti più significative dell’indagine pubblicata sul portale Krebs on Security.
La prima apparizione di Tesla, come detto in apertura, risale a circa 4 anni fa. Fu il portale agenttesla.wordpress-dot-com, tra l’altro ancora visitabile, a renderlo disponibile gratuitamente; qualche tempo dopo, probabilmente a fronte dei buoni riscontri ottenuti, il download divenne a pagamento (era possibile utilizzare PayPal fino ai BitCoin e ad un classico bonifico bancario). Secondo i dati ottenuti da Krebs tramite una ricerca WHOIS, l’intestatario del dominio sarebbe un tecnico informatico di Antalya (Turchia) le cui tracce “digitali” si perdono a metà del 2016, periodo in cui il dominio legato al sito WordPress acquista un servizio WHOIS privacy e rende quindi impossibile verificare eventuali cambiamenti successivi.
Gli indizi reperibili in Rete sono però innumerevoli (un indirizzo di posta gmail, un canale su YouTube etc.) e Krebs riesce a fornire una serie di elementi che provano lo stretto legame tra il vecchio blog ed il recente business associato ad Agent Tesla: si può tranquillamente parlare di business perché la licenza software di Agent Tesla è stata acquistata da oltre 6000 persone (dati relativi al 2018) e le istanze associate a quest’ultimo, afferma una ditta di sicurezza online menzionata dal giornalista, sono aumentate del 100% in soli tre mesi.
Un sito commerciale a tutti gli effetti
Fonte immagine: Krebs on Security. Le funzionalità più avanzate sono disponibili nei pacchetti di punta Gold e Platinum. Per keylogger si intende un programma in grado di memorizzare qualsiasi combinazione di tasti digitata dall’utilizzatore di un sistema, funzione che si rivela quindi utilissima a carpire qualsiasi password – non a caso diversi software antivirus offrono delle “tastiere virtuali” (utilizzabili via mouse) in grado di non essere intercettate dai keylogger.
Il portale è uguale in tutto e per tutto ad un classico sito di vendita servizi: in base al pacchetto acquistato è possibile usufruire di un comodo supporto 24 ore su 24/ 7 giorni su 7 (tramite la piattaforma Discord), di aggiornamenti costanti e delle possibilità di utilizzare immediatamente l’ultima release software. E’ interessante sottolineare come il sito cerchi di apparire a tutti gli effetti legale mettendo in risalto un efficace disclaimer:
[il portale enfatizza il fatto che Tesla è strettamente pensato per il monitoraggio dei computer personali]. La pagina “Chi siamo” afferma che “Agent Tesla non è un malware. Per favore, non utilizzatelo su computer ai quali non si è autorizzati ad accedere”. Per rafforzare il disclaimer, il sito avverte che a qualsiasi utente [che infrangerà le regole] sarà revocata la licenza software e cancellata la sottoscrizione.
Ad un’analisti più attenta, l’azienda sembra però muoversi con disinvoltura nel campo dell’illecito:
[il sito ed il canale di supporto 24/7 sono popolati di guide del customer service che istruiscono] gli utenti sul come eludere i sistemi di rilevamento antivirus, utilizzare le vulnerabilità dei software per effettuare il deploy [di Tesla], ed implementare segretamente il programma in varie categorie di file, come immagini, testi, audio e perfino file Microsoft Office – [se si osserva attentamente l’immagine del listino prezzi, si notano le estensioni xls (Excel) e doc (Word) ndr].
L’azienda di servizi per la sicurezza online LastLine ha descritto il tool nel seguente modo: “Agendo da vero e proprio ladro di informazioni, [Agent Tesla] è capace di estrarre le credenziali da diversi browser, mail, ed FTP client. Registra [digitazioni] ed i dati nella lavagna [clipboard], cattura screen e video, ed è in grado di eseguire la cattura dei form (Instagram, Twitter, Gmail, Facebook etc.)”.
Secondo la legge
Sebbene molte persone identifichino, ed abbiano utilizzato, Agent Tesla come un semplice tool di amministrazione remota, quindi uno strumento del tutto lecito e di cui si hanno vari esempi commerciali sul Web (GoToMyPc, VNC etc.), da un punto di vista legale la situazione è differente: istruire i clienti su eventuali metodi di installazione “alternativi” ed “ingannevoli”, come avveniva su Discord, rappresenta un crimine che può essere perseguito dalla legge.
Vicende simili, aggiunge Krebs, sono all’ordine del giorno, ricordando ad esempio quanto accaduto ad un ventenne del Kentucky: reo confesso di aver venduto online un software di controllo remoto (LuminosityLink) ad oltre 6000 persone di 78 Paesi diversi, incassato oltre 700 mila dollari ed offerto assistenza diretta ai clienti (in modo analogo al customer service Tesla), è stato condannato a scontare due anni e mezzo di carcere e restituire i proventi dell’illecito.
Come si è conclusa la vicenda Agent Tesla? A distanza di alcuni giorni dalla pubblicazione del post, il portale ha sospeso la vendita del software annunciando una revisione delle policy di utilizzo e dello stesso tool (rimozione di alcune funzioni come la registrazione via webcam etc.), con l’intento di fare “piazza pulita” di tutti gli account che hanno utilizzato Tesla per scopi malevoli e marcare una linea netta tra i vertici aziendali e l’illegalità.
Insomma, improvvisarsi venditori di malware non è alla portata di tutti ma nemmeno prerogativa di pochi. E sfruttando quanto offerto dalla Rete è possibile agire indisturbati o quasi… salvo incorrere in abili giornalisti investigativi come Krebs.
Fonte: 1
