Une nouvelle variante du Agent Tesla des logiciels malveillants ont été observés diffusés via un fichier leurre au format de compression ZPAQ pour récolter des données de plusieurs clients de messagerie et de près de 40 navigateurs Web.
« ZPAQ est un format de compression de fichiers qui offre un meilleur taux de compression et une meilleure fonction de journalisation par rapport aux formats largement utilisés comme ZIP et RAR », a déclaré Anna Lvova, analyste des logiciels malveillants chez G Data, dans une analyse lundi.
« Cela signifie que les archives ZPAQ peuvent être plus petites, économisant ainsi de l’espace de stockage et de la bande passante lors du transfert de fichiers. Cependant, ZPAQ présente le plus gros inconvénient : une prise en charge logicielle limitée. »
Apparu pour la première fois en 2014, l’agent Tesla est un cheval de Troie enregistreur de frappe et d’accès à distance (RAT) écrit en .NET et proposé à d’autres acteurs malveillants dans le cadre d’un modèle de malware en tant que service (MaaS).
Il est souvent utilisé comme charge utile de première étape, fournissant un accès à distance à un système compromis et utilisé pour télécharger des outils de deuxième étape plus sophistiqués tels que des ransomwares.
L’agent Tesla est généralement envoyé via des e-mails de phishing, les campagnes récentes exploitant une vulnérabilité de corruption de mémoire vieille de six ans dans l’éditeur d’équations de Microsoft Office (CVE-2017-11882).
La dernière chaîne d’attaque commence par un e-mail contenant une pièce jointe ZPAQ qui prétend être un document PDF, s’ouvrant qui extrait un exécutable .NET volumineux qui est principalement rempli de zéro octet pour gonfler artificiellement la taille de l’échantillon à 1 Go dans le but de contourner les méthodes traditionnelles. mesures de sécurité.
« La fonction principale de l’exécutable .NET non archivé est de télécharger un fichier avec l’extension .wav et de le décrypter », a expliqué Lvova. « L’utilisation d’extensions de fichiers couramment utilisées masque le trafic comme étant normal, ce qui rend plus difficile la détection et la prévention des activités malveillantes par les solutions de sécurité réseau. »
L’objectif final de l’attaque est d’infecter le point final avec l’agent Tesla, masqué par .NET Reactor, un logiciel légitime de protection du code. Les communications de commande et de contrôle (C2) s’effectuent via Telegram.
Cette évolution est le signe que les acteurs malveillants expérimentent des formats de fichiers inhabituels pour la diffusion de logiciels malveillants, ce qui oblige les utilisateurs à être à l’affût des e-mails suspects et à maintenir leurs systèmes à jour.
« L’utilisation du format de compression ZPAQ soulève plus de questions que de réponses », a déclaré Lvova. « Les hypothèses ici sont que soit les acteurs de la menace ciblent un groupe spécifique de personnes possédant des connaissances techniques ou utilisent des outils d’archivage moins connus, soit ils testent d’autres techniques pour propager les logiciels malveillants plus rapidement et contourner les logiciels de sécurité. »
