Pendant plus de sept ans, la famille de logiciels malveillants de Troie d’accès à distance (RAT) Agent Tesla est restée l’une des menaces les plus courantes pour les utilisateurs de Windows en ligne, car elle est continuellement mise à jour par ses créateurs.
Une variété de cybercriminels exploitent le logiciel malveillant pour voler les informations d’identification des utilisateurs et d’autres informations via des captures d’écran, des enregistrements de frappe et des captures de presse-papiers. Cependant, comme le compilateur de l’agent Tesla code en dur des variables spécifiques à l’opérateur lors de sa création, le comportement du malware peut varier considérablement à mesure qu’il continue d’évoluer.
Selon Sophos, les modifications récentes apportées au malware ont augmenté le nombre d’applications ciblées pour le vol d’informations d’identification pour inclure les navigateurs Web, les clients de messagerie, les clients VPN et d’autres logiciels qui stockent les noms d’utilisateur et les mots de passe.
Les SophosLabs ont suivi plusieurs acteurs de la menace à l’aide de l’agent Tesla et, en décembre de l’année dernière, il représentait 20% des pièces jointes malveillantes détectées dans la télémétrie client de l’entreprise.
Sommaire
Agent Tesla v3
Dans son nouveau rapport sur l’agent Tesla, Sophos jette un éclairage supplémentaire sur deux versions actuellement actives du malware identifiées comme version 2 et version 3 pour montrer comment le RAT a évolué en utilisant plusieurs types de contournement et d’obscurcissement de la défense pour éviter la détection.
Alors que les deux versions du malware peuvent être configurées pour communiquer via HTTP, SMTP et FTP, la version 3 ajoute le protocole de discussion Telegram en option afin que les attaquants puissent exfiltrer les données volées vers une salle de discussion Telegram privée.
Dans le même temps, l’agent Tesla v3 permet également à un attaquant de décider s’il souhaite ou non déployer un client Tor pour cacher ses communications et cette version du malware peut même voler le contenu du presse-papiers du système Windows.
Le spam malveillant étant la méthode de distribution la plus courante pour l’agent Tesla, Sophos recommande aux organisations et aux particuliers de traiter avec prudence les pièces jointes aux e-mails d’expéditeurs inconnus et de vérifier l’intégrité des pièces jointes avant de les ouvrir.
