Les logiciels malveillants de nouvelle apparence peuvent voler les mots de passe des logiciels VPN et des navigateurs Web

0
17

Les chercheurs en sécurité ont découvert de nouvelles variantes du malware Agent Tesla qui incluent désormais des modules capables de voler les informations d'identification de nombreuses applications populaires, notamment les navigateurs Web, les logiciels VPN et les clients FTP et de messagerie.

Découvert pour la première fois en 2014, l'agent Tesla est un enregistreur de frappe et un voleur d'informations qui a gagné en popularité parmi les cybercriminels au cours des deux dernières années. Le logiciel malveillant a été initialement vendu sur divers forums et marchés de pirates informatiques et ses créateurs ont fourni aux clients le logiciel malveillant lui-même ainsi qu'un panneau de gestion pour leur permettre de trier facilement les données qu'il collecte.

Chercheur principal sur les menaces SentinelOne, Jim Walter a découvert un code dédié utilisé pour collecter les données de configuration des applications et les informations d'identification des utilisateurs après avoir analysé plusieurs nouveaux échantillons du malware Agent Tesla. Walter a fourni d'autres informations sur les capacités de ces nouveaux modules dans un article de blog, en disant:

«Actuellement, l'agent Tesla continue d'être utilisé à divers stades d'attaques. Sa capacité à gérer et à manipuler en permanence les appareils des victimes est toujours attrayante pour les criminels de bas niveau. L'agent Tesla est désormais en mesure de collecter les données de configuration et les informations d'identification d'un certain nombre de clients VPN courants, de clients FTP et de messagerie et de navigateurs Web. Le logiciel malveillant a la capacité d'extraire les informations d'identification du registre ainsi que les fichiers de configuration ou de support associés. »

Variantes de l'agent Tesla

L'analyse de SentinelOne des dernières variantes de l'agent Tesla a révélé que le logiciel malveillant peut désormais voler les informations d'identification des utilisateurs d'un certain nombre d'applications populaires, notamment Google Chrome, Chromium, Safari, Mozilla Firefox, Microsoft Edge, Opera, Microsoft Outlook, Mozilla Thunderbird, OpenVPN et plus encore.

Une fois que le logiciel malveillant a récupéré les informations d'identification et les données de configuration d'application d'un programme ciblé, il fournit ces informations à son serveur de commande et de contrôle (C2) via FTP ou STMP en utilisant les informations d'identification incluses dans sa configuration interne.

Walter a également souligné dans son article de blog que les variantes actuelles de l'agent Tesla «abandonnent ou récupèrent souvent des exécutables secondaires» qui sont ensuite injectés dans des binaires connus et vulnérables sur un hôte ciblé.

Alors que l'agent Tesla existe depuis des années, les nouveaux modules qui ont été ajoutés au malware le rendent encore plus efficace pour voler les données des utilisateurs.

Via BleepingComputer

Les offres de produits Hi-tech en rapport avec cet article

Laisser un commentaire