Les outils d'accès à distance, ou RAT en abrégé, continuent d'être une menace majeure. Malwarebytes a récemment démasqué un groupe d'arnaqueurs nigérians autour de l'agent Tesla. Heureusement, il n'y avait pas de professionnels à plein temps travaillant avec le groupe : ils ont envoyé des e-mails de test et ont ainsi révélé leur adresse IP.
Le voleur de données "Agent Tesla" est un outil d'accès à distance (RAT) qui est actif depuis 2014 et est maintenant l'un des fichiers malveillants les plus populaires qui peuvent être observés dans les campagnes de spam par e-mail. Dans sa recherche de menaces ciblant l'Ukraine, Malwarebytes a identifié un nouveau groupe fortement impliqué dans le phishing et d'autres formes de vol de données depuis plusieurs années. L'ironie derrière cela : l'un des principaux acteurs de la menace avait également infecté son propre ordinateur avec un binaire Agent Tesla.
Près d'un million d'identifiants de connexion volés
Les activités de l'escroc ont débuté il y a quelques années avec la fraude classique aux acomptes (fraude 419). Pendant ce temps, l'escroc gère avec succès les campagnes de l'agent Tesla. Au cours des deux dernières années, il a ainsi volé près d'un million d'identifiants de connexion à ses victimes.
Une campagne par e-mail avec l'agent Tesla utilisant un e-mail ukrainien a conduit Malwarebytes à traquer les escrocs. L'enquête de l'équipe Malwarebytes Threat Intelligence a commencé par un e-mail intitulé Остаточний платіж.msg en ukrainien, qui se traduit par Final Payment.msg. L'e-mail contenait un lien vers un site de partage de fichiers qui téléchargeait une archive contenant un exécutable, amenant l'équipe de renseignements sur les menaces sur la piste de l'escroc.
L'exécutable est en fait un agent malveillant Tesla Stealer. Celui-ci est capable d'exfiltrer des données de différentes manières. La technique sous-jacente est assez simple : elle nécessite simplement un compte de messagerie qui s'envoie des messages avec les informations d'identification volées de chaque victime.
Les messages de test révèlent l'adresse IP de l'attaquant
L'attaquant a envoyé une série de messages "Test réussi !" depuis le même compte. On sait que les attaquants utilisent généralement de tels messages pour vérifier si la communication avec l'agent Tesla est correctement configurée. Cependant, les e-mails auraient dû être supprimés par la suite pour des raisons évidentes. Cependant, l'auteur de la menace ne l'a pas fait dans ce cas. Ce faisant, il a révélé sa propre adresse IP et Malwarebytes a pu localiser l'adresse à Lagos, au Nigeria. Malwarebytes a donc donné au groupe d'escrocs découvert le nom de "Nigerian Tesla".
26 autres e-mails ont été envoyés à partir de la même adresse IP, qui n'étaient pas des e-mails de test mais provenaient d'une véritable exécution de l'agent Tesla. L'attaquant a ainsi réussi à infecter également son propre ordinateur.
L'attaquant opère sous différents noms et comptes de messagerie
Par exemple, dans ses opérations de phishing et de vol de données passées, l'attaquant a utilisé les noms Rita Bent, Lee Chen et John Cooper ainsi que plus de 25 comptes de messagerie et mots de passe différents contenant la chaîne « 1985 ». De la multitude de profils, on peut voir que l'acteur de la menace a eu une longue carrière qui a commencé au moins en 2014. À l'époque, il dirigeait des escroqueries classiques sous le nom de Rita Bent.
Une autre arnaque privilégiée par le groupe était le phishing sous couvert de pages de connexion Adobe. Les chercheurs en sécurité de Malwarebytes ont enregistré plusieurs fausses pages de destination Adobe déployées de 2015 à récemment.
Qui est derrière les attaques de données ?
Derrière l'adresse IP située au Nigéria se cache un homme du nom d'EK, qui partageait encore des photos de lui en 2016. Une photo de son permis de conduire a également été retrouvée. Cela montre qu'il est né en 1985. C'est ainsi que l'image correspond finalement : L'année de naissance 1985 a été utilisée dans de nombreux mots de passe des comptes de messagerie à partir desquels les activités illégales ont été menées.
Il y a actuellement peu d'informations sur les autres membres du groupe d'escrocs. Cependant, EK semble avoir le rôle le plus important et au moins être celui qui a donné vie à la Tesla nigériane.
Tesla nigérian a volé un total de plus de 800.000 28.000 identifiants différents à environ 419 XNUMX victimes. Cela montre à quel point ces types de campagnes peuvent être simples mais efficaces. Le cas d'EK montre également une évolution intéressante d'un acteur malveillant qui a commis l'escroquerie classique à l'avance (escroquerie XNUMX) avant de finalement se lancer dans le monde de la distribution de logiciels malveillants. Les utilisateurs de Malwarebytes sont protégés contre l'agent Tesla. L'attaquant est détecté comme Spyware.Password.Stealer.
Plus sur Malwarebytes.com
À propos de Malwarebytes Malwarebytes protège les particuliers et les entreprises contre les menaces dangereuses, les ransomwares et les exploits que les programmes antivirus ne détectent pas. Malwarebytes remplace complètement les autres solutions antivirus pour éviter les menaces de cybersécurité modernes pour les utilisateurs privés et les entreprises. Plus de 60.000 XNUMX entreprises et des millions d'utilisateurs font confiance aux solutions d'apprentissage automatique innovantes de Malwarebyte et à ses chercheurs en sécurité pour éviter les menaces émergentes et éliminer les logiciels malveillants qui manquent aux solutions de sécurité obsolètes. Visitez www.malwarebytes.com pour plus d'informations.