Agent Tesla trojan trouve de nouvelles façons de se faufiler devant les défenses

Deux versions mises à jour de l’agent Tesla, le voleur d’informations largement utilisé et cheval de Troie d’accès à distance (Rat), contiennent maintenant de nouvelles techniques d’évasive conçues pour désactiver les outils de protection des points de terminaison sur les systèmes cibles avant de fournir des charges utiles malware, selon une recherche publiée par Sophos.

Les nouvelles versions de l’agent Tesla, qui arrive en général comme une pièce jointe malveillante à un e-mail de phishing, intègre un processus en plusieurs étapes. Dans un premier temps, il utilise un téléchargeur .NET pour saisir des morceaux de logiciels malveillants à partir de sites Web tiers légitimes – tels que la pâte – et les tricote ensemble pour construire le chargeur qui porte la charge utile finale.

Pendant ce temps, il tente maintenant de jouer avec le code dans l’interface logicielle anti-malware de Microsoft (AMSI) pour désactiver tous les outils actuels de protection de point de terminaison compatibles AMSI qui bloqueraient généralement la charge utile du téléchargement, l’installation et l’exécution. AMSI est une fonctionnalité de Windows qui permet aux applications et aux services de s’intégrer aux outils de sécurité installés.

« Agent Tesla malware a été actif pendant plus de sept ans, mais il reste l’une des menaces les plus courantes pour les utilisateurs de Windows », a déclaré Sean Gallagher, chercheur principal en sécurité à Sophos. « Il a été parmi les meilleures familles de logiciels malveillants distribués par e-mail en 2020. En décembre, les charges utiles de l’agent Tesla représentaient environ 20 % des attaques malveillantes de pièces jointes par courriel interceptées par les scanners Sophos.

« Une variété d’attaquants utilisent le malware pour voler les informations d’identification des utilisateurs et d’autres informations à partir de cibles à travers des captures d’écran, l’enregistrement du clavier et la capture de presse-papiers.

« La méthode de livraison la plus répandue pour l’agent Tesla est spam malveillant – tels que les e-mails que nous avons mis en évidence dans notre recherche RATicate. Sophos croit que les cybercriminels continueront à mettre à jour le malware et à le modifier pour échapper aux outils de protection des points de terminaison et des courriels.

« Les comptes de messagerie utilisés pour diffuser l’agent Tesla sont souvent des comptes légitimes qui ont été compromis. Les organisations et les particuliers devraient, comme toujours, traiter avec prudence les pièces jointes d’expéditeurs inconnus et vérifier toutes les pièces jointes avant de les ouvrir.

Dans de nouvelles recherches publiées aujourd’hui, Sophos explore les deux nouvelles versions actuellement en circulation, qui comportent toutes deux plusieurs autres mises à jour, y compris de nouvelles applications ciblées pour le vol d’informations d’identification – parmi lesquelles les navigateurs Web, les services de messagerie et les clients VPN – et peut également capturer des frappes et prendre des captures d’écran.

Les chercheurs ont également souligné comment un certain nombre de différences observées entre les deux versions de l’agent Tesla démontrent son évolution continue – outre le ciblage de l’AMSI de Microsoft, il inclut également maintenant des options pour installer et utiliser le client du réseau Tor, et l’API de messagerie Telegram pour les communications vers son infrastructure de commandement et de contrôle.

Les conseils pour les équipes de sécurité sur la façon de lutter contre les menaces telles que l’agent Tesla centre, comme toujours, sur la protection des utilisateurs au niveau le plus élémentaire, et les infections de prévention pour commencer.

Cela comprend l’utilisation d’outils intelligents et à jour qui peuvent filtrer les e-mails malveillants avant même qu’ils ne frappent les boîtes de réception, et l’éducation des utilisateurs à repérer les signes avant-coureurs si quelque chose ne le faire à travers – prêter attention aux fautes d’orthographe et l’utilisation de la langue, offres qui semblent trop beau pour être vrai ou des demandes qui semblent hors de propos et, bien sûr, ne jamais ouvrir une pièce jointe ou en cliquant sur un lien dans un e-mail d’un expéditeur inconnu.

Plus d’informations sur les nouvelles versions de l’agent Tesla, y compris les indicateurs de compromis, sont disponibles sur la page GitHub de Sophos.