Le keylogger Agent Tesla a de nouvelles fonctionnalités

0

Agent Tesla, le keylogger vieux de six ans a été mis à jour à nouveau, cette fois avec un ciblage étendu et des fonctionnalités améliorées d’exfiltration de données.

Agent Tesla est entré en scène pour la première fois en 2014, spécialisé dans le keylogging (l’enregistrement des frappes de clavier effectuées par un utilisateur afin d’exfiltrer des données telles que les informations d’identification et plus) et le vol de données. Agent Tesla ne fait que prendre de l’ampleur, apparaissant dans plus d’attaques au cours du premier semestre 2020 par rapport au tristement célèbre malware TrickBot ou Emotet, par exemple.

Les chercheurs préviennent que la dernière itération du logiciel malveillant, révélée récemment, est susceptible d’ajouter à ce volume d’attaques, alors que les pirates informatiques vont adopter la version mise à jour.

«Les pirates informatique qui passent à cette version de l’agent Tesla ont la possibilité de cibler un plus large éventail d’informations d’identification stockées, y compris celles pour le navigateur Web, la messagerie électronique, le VPN et d’autres services», a déclaré Aaron Riley, analyste du renseignement sur les cyber-menaces chez Cofense, dans une analyse.

Tatiques d’exfiltration de données d’Agent Tesla

La nouvelle version d’Agent Tesla inclut la possibilité de cibler une plus large gamme d’informations d’identification stockées, telles que les navigateurs Web et les clients de messagerie moins populaires.

«Cela peut indiquer un intérêt accru pour les informations d’identification volées, pour un segment plus spécialisé du marché ou un type particulier de produit ou de service», a déclaré Riley.

agent tesla

Agent Tesla inclut désormais la possibilité de récupérer les informations d’identification du navigateur Web Pale Moon, un navigateur Web Open Source dérivé de Mozilla disponible pour Microsoft Windows et Linux; et le client de messagerie The Bat, un client de messagerie pour le système d’exploitation Microsoft Windows, développé par Ritlabs, SRL.

Auparavant, le logiciel malveillant avait la capacité de collecter des données de configuration et des informations d’identification à partir d’un certain nombre de clients VPN, de clients FTP, de messagerie et de navigateurs Web plus courants. Cela incluait Apple Safari, BlackHawk, Brave, CentBrowser, Chromium, Comodo Dragon, CoreFTP, FileZilla, Google Chrome, Iridium, Microsoft IE et Edge, Microsoft Outlook, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera, Opera Mail, Qualcomm Eudora, Tencent QQBrowser et Yandex, entre autres.

Le malware peut désormais également utiliser TOR avec une clé pour contourner les filtres de contenu et de sécurité réseau, a déclaré Riley. De plus, la mise à jour inclut de nouvelles capacités de mise en réseau qui créent un ensemble plus robuste de méthodes d’exfiltration, y compris l’utilisation du service de messagerie Telegram. Bien que la capacité à s’exfiltrer via une API Telegram «ne soit pas nouvelle», a déclaré Riley, elle «peut indiquer une tendance à la hausse des logiciels malveillants utilisant des services de messagerie instantanée pour l’infrastructure C2 [de commande et de contrôle]».

Le ciblage d’Agent Tesla

La dernière version d’Agent Tesla a montré que le malware avait changé de ciblage. La nouvelle version est principalement axée sur l’Inde. C’était auparavant l’unes des cibles principales d’Agent Tesla mais les chercheurs affirment que le malware se concentre moins sur d’autres cibles, comme les États-Unis et l’Europe.

Agent Tesla

Agent Tesla s’est moins concentré sur des secteurs précédemment ciblés comme le domaine de la technologie et a intensifié ses attaques contre les fournisseurs d’accès de services Internet (FAI).

«Les FAI pourraient être considérés comme une cible majeure pour les pirates informatiques en raison des autres secteurs de l’industrie qui dépendent d’eux pour des fonctions essentielles», a déclaré Riley. «Un FAI compromis pourrait donner aux cybercriminels un accès aux organisations qui ont des intégrations et des autorisations en aval avec le FAI. Les abonnés courraient également un risque, car les FAI détiennent souvent des e-mails ou d’autres données personnelles critiques qui pourraient être utilisées pour accéder à d’autres comptes et services. »

Le futur d’Agent Tesla

Agent Tesla est apparu à plusieurs reprises cette année dans diverses campagnes. En Avril 2020, par exemple, il a été observé dans des campagnes ciblées contre l’industrie pétrolière et gazière. En Août 2020, des chercheurs ont découvert que le malware exploitait la pandémie et ajoutait de nouvelles fonctionnalités pour l’aider à dominer le domaine des menaces d’entreprise.

Les chercheurs préviennent qu’une fois que les cybercriminels réalisent les avantages de la dernière version du malware, ils peuvent effectuer une transition plus rapidement car les nouvelles fonctionnalités peuvent être nécessaires.

Malgré les capacités dangereuses des deux versions d’Agent Tesla, les entreprises peuvent se protéger en éduquant leurs employés et en maintenant les protections appropriées.

Laisser un commentaire