Le piège se présente sous la forme d'un message de notification de paiement bancaire incitant l'utilisateur à ouvrir une pièce jointe.
Une nouvelle campagne de phishing a été découverte. Celle-ci utilise un nouveau logiciel malveillant pour propager un voleur d'informations et un enregistreur de frappe baptisé Agent Tesla.
Les chercheurs de Trustwave SpiderLabs ont en effet déclaré avoir repéré un e-mail de phishing le 8 mars 2024. Le message se présente comme une notification de paiement bancaire qui incite l'utilisateur à ouvrir une pièce jointe contenant le logiciel malveillant particulièrement virulent, puisque ce dernier parvient à échapper à tous les moyens de contrôle actuels, tels que Windows AMSI.
L'Agent Tesla évolue pour se rendre quasiment indétectable
Les victimes reçoivent un faux courriel de paiement bancaire conçu pour les tromper. Ce courriel contient une pièce jointe nommée « Bank Handlowy w Warszawie - dowód wpłaty_pdf.tar.gz », qui se fait passer pour un reçu de paiement légitime émis par une banque. Ce nom de fichier laisse entendre qu'il s'agit d'un document inoffensif, mais il contient en réalité un chargeur malveillant dissimulé dans l'archive tar.gz. Cette tactique est couramment employée dans les attaques d'hameçonnage pour inciter les destinataires à activer involontairement le logiciel malveillant et à lancer des activités frauduleuses.
Ce logiciel malveillant active l'Agent Tesla sur l'appareil compromis. Il utilise des techniques pour échapper à la détection, éviter les défenses antivirus et récupérer la charge utile à l'aide d'URL spécifiques. Il est en effet conçu pour contourner l'interface d'analyse antimalware Windows (AMSI). Il décode et exécute l'Agent Tesla en mémoire, ce qui permet aux cybercriminels d'exfiltrer discrètement des données sensibles avec SMTP sans déclencher d'alarmes. Ce chargement marque une évolution dans les tactiques d'attaque de l'Agent Tesla.
« [Le chargeur] utilise des méthodes telles que l'application de correctifs pour contourner la détection de l'Antimalware Scan Interface (AMSI) et charger dynamiquement les charges utiles, garantissant ainsi une exécution furtive et minimisant les traces sur le disque », a déclaré le chercheur en sécurité Bernard Bautista. Il précise une évolution notable dans les tactiques de déploiement de l'Agent Tesla.
La popularité alarmante des kits de phishing
Cette découverte est consécutive à celle des chercheurs de BlueVoyant, qui ont identifié une nouvelle activité de phishing menée par le groupe de cybercriminalité TA544. Ce groupe utilise des PDF déguisés en factures pour propager le malware WikiLoader et se connecter à des serveurs de contrôle qui ciblent principalement des sites WordPress piratés, à l'instar de ceux infectés par une faille du plugin LiteSpeed au début du mois de mars 2024. TA544 a également exploité une faille de sécurité Windows (CVE-2023-36025) pour distribuer Remcos RAT, prenant ainsi le contrôle des systèmes infectés.
Par ailleurs, l'utilisation du kit de phishing Tycoon a augmenté, avec plus de 1 100 noms de domaine détectés entre fin octobre 2023 et fin février 2024. Tycoon permet aux cybercriminels de cibler les utilisateurs de Microsoft 365 avec de fausses pages de connexion pour capturer leurs informations d'identification et leurs codes 2FA. Il intègre des méthodes de filtrage du trafic pour contrecarrer les robots et les tentatives d'analyse.
Tycoon partage des similitudes avec le kit de phishing Dadsec OTT, suggérant que les développeurs ont modifié le code source de ce dernier. Ils ont ainsi amélioré les capacités furtives de Tycoon, réduisant potentiellement le taux de détection par les produits de sécurité. Sa facilité d'utilisation et son prix bas le rendent populaire parmi les acteurs malveillants.
01 décembre 2024 à 11h06
Sources : The Hacker News, BlueVoyant, Trustwave SpiderLabs