Sophos a publié aujourd'hui un nouveau rapport sur le malware Agent Tesla : « Agent Tesla Amps Up Information Stealing Attacks ». Dans ce document, les spécialistes de la sécurité informatique décrivent comment les attaquants utilisent de nouvelles techniques pour désactiver la protection des terminaux avant d'injecter le logiciel malveillant dans le système.
L'agent Tesla est un outil d'accès à distance (RAT) largement utilisé connu depuis 2014 et utilisé par les attaquants pour le vol de données - maintenant de nouvelles mises à jour sur les détails des attaques ont été révélées. Les créateurs le proposent à la vente sur les forums du dark web et le mettent à jour en permanence. Les cybercriminels distribuent généralement l'agent Tesla en pièce jointe via des spams.
Le processus en plusieurs étapes pénètre
Les techniques comportent un processus en plusieurs étapes dans lequel un téléchargeur .NET récupère des éléments individuels de logiciels malveillants sur des sites Web tiers officiels, tels que pastebin et hastebin, puis assemble les éléments pour faire des ravages avec le logiciel malveillant terminé. Dans le même temps, le logiciel malveillant tente de modifier le code de l'interface logicielle anti-malware (AMSI) de Microsoft, une fonctionnalité Windows qui permet aux applications et aux services de s'intégrer aux produits de sécurité installés. Avec cela, les cybercriminels désactivent la protection de sécurité des terminaux compatible AMSI, permettant au malware de télécharger, d'installer et de s'exécuter sans aucun obstacle.
Le rapport décrit la procédure
Le nouveau rapport de Sophos détaille les deux versions de l'Agent Tesla en circulation. Les deux ont des mises à jour récentes telles que le nombre d'applications ciblées pour le vol d'informations d'identification. Cela inclut, mais sans s'y limiter, les navigateurs Web, les clients de messagerie, les clients de réseau privé virtuel et d'autres logiciels qui stockent les noms d'utilisateur et les mots de passe. Il est également possible de capturer des frappes au clavier et d'enregistrer des captures d'écran.
Les différences entre les deux versions montrent comment les attaquants ont récemment fait évoluer le RAT et utilisent maintenant plusieurs techniques d'évasion et d'obscurcissement de la sécurité. Celles-ci incluent des options pour installer et utiliser le client réseau anonymisant Tor, l'API de messagerie Telegram pour la communication de commande et de contrôle (C2) et le ciblage de l'AMSI de Microsoft.
Le malware Agent Tesla est actif depuis plus de sept ans, mais il reste l'une des menaces les plus courantes auxquelles sont confrontés les utilisateurs de Windows. Il se classe parmi les principales familles de logiciels malveillants distribués par e-mail en 2020. En décembre, l'agent Tesla représentait environ 20 % des attaques malveillantes par e-mail interceptées par les scanners Sophos », a déclaré Michael Veit, Technology Evangelist chez Sophos. "Une variété d'attaquants utilisent le logiciel malveillant pour voler les informations d'identification des utilisateurs et d'autres informations via des captures d'écran, la journalisation du clavier et la capture du presse-papiers."
Sophos recommande ce qui suit aux administrateurs informatiques
- Installation d'une solution de sécurité intelligente qui vérifie, détecte et peut bloquer les e-mails suspects et leurs pièces jointes avant qu'ils n'atteignent les utilisateurs.
- Création de normes d'authentification efficaces pour vérifier que les e-mails sont bien ce qu'ils prétendent être.
Formez les employés à reconnaître les signes avant-coureurs des e-mails suspects et que faire lorsqu'ils rencontrent un e-mail suspect. - Encouragez les utilisateurs à vérifier leurs e-mails pour s'assurer qu'ils proviennent de l'adresse et de la personne qu'ils prétendent être.
Conseillez aux utilisateurs de ne jamais ouvrir de pièces jointes ni de cliquer sur des liens dans des e-mails provenant d'expéditeurs inconnus.
La protection des endpoints Sophos Intercept X détecte les logiciels malveillants et les RAT du programme d'installation de l'agent Tesla à l'aide de la technologie d'apprentissage automatique, ainsi que les signatures Troj/Tesla-BE et Troj/Tesla-AW.
En savoir plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.