Sophos découvre de nouvelles techniques d'évasion utilisées pour contourner la sécurité

Dubaï, Émirats arabes unis, 14 février 2021: Sophos, un leader mondial de la cybersécurité de nouvelle génération, a publié aujourd’hui une nouvelle étude sur l’agent Tesla, « Agent Tesla Amps Up Information Stealing Attacks », qui détaille les nouvelles techniques évasives utilisées par les attaquants pour désactiver la protection des terminaux avant de diffuser le malware et d’installer et d’exécuter la charge utile.

Les techniques comportent un processus en plusieurs étapes dans lequel un téléchargeur .NET saisit des morceaux de logiciels malveillants sur des sites Web tiers légitimes tels que pastebin et hastebin, puis joignent, décodent et déchiffrent les morceaux pour former le chargeur qui transporte la charge utile malveillante.

Dans le même temps, le logiciel malveillant tente de modifier le code de l’interface AMSI (Anti-Malware Software Interface) de Microsoft – une fonctionnalité Windows qui permet aux applications et services de s’intégrer aux produits de sécurité installés – de sorte que la protection de sécurité des terminaux AMSI ne fonctionne pas installer et exécuter sans être bloquée.

L’agent Tesla est un voleur d’informations et un outil d’accès à distance (RAT) largement utilisé, connu depuis 2014. Les créateurs en font la promotion sur les forums du dark-web et le mettent constamment à jour. Les attaquants distribuent généralement le malware via des pièces jointes de spam malveillantes.

La nouvelle recherche Sophos examine en profondeur les deux versions de l’agent Tesla qui circulent actuellement. Les deux présentent des mises à jour récentes, telles que le nombre d’applications ciblées pour le vol d’informations d’identification, y compris les navigateurs Web, les clients de messagerie, les clients de réseau privé virtuel et d’autres logiciels qui stockent les noms d’utilisateur et les mots de passe. Ils ont également la possibilité de capturer des frappes et d’enregistrer des captures d’écran.

Cependant, les différences entre les deux versions montrent comment les attaquants ont récemment fait évoluer le RAT en employant plusieurs types d’évasion et d’obfuscation de défense pour éviter la détection. Celles-ci incluent des options pour installer et utiliser le client réseau anonyme Tor, ainsi que l’API de messagerie Telegram pour les communications de commande et de contrôle (C2) et le ciblage de l’AMSI de Microsoft.

Sean Gallagher, chercheur principal en sécurité, Sophos« Le logiciel malveillant de l’agent Tesla est actif depuis plus de sept ans, mais il reste l’une des menaces les plus courantes pour les utilisateurs de Windows. En décembre, les charges utiles de l’agent Tesla représentaient environ 20% des attaques de pièces jointes malveillantes interceptées par les scanners Sophos « , a déclaré Sean Gallagher, chercheur senior en sécurité chez Sophos. « Divers attaquants utilisent le logiciel malveillant pour voler les informations d’identification des utilisateurs et d’autres informations sur les cibles via des captures d’écran, la journalisation du clavier et la capture du presse-papiers. La méthode de livraison la plus répandue pour l’agent Tesla est le spam malveillant, comme les e-mails que nous avons mis en évidence dans notre recherche RATicate. Sophos pense que les cybercriminels continueront à mettre à jour le malware et à le modifier pour échapper aux outils de protection des terminaux et des e-mails. Les comptes de messagerie utilisés pour diffuser l’agent Tesla sont souvent des comptes légitimes qui ont été compromis. Les organisations et les particuliers doivent, comme toujours, traiter avec prudence les pièces jointes des e-mails d’expéditeurs inconnus et vérifier toutes les pièces jointes avant de les ouvrir « .

Liste de contrôle recommandée par l’administrateur informatique pour la sécurité des e-mails

  • Installez une solution de sécurité intelligente qui peut filtrer, détecter et bloquer les e-mails suspects et leurs pièces jointes avant qu’ils n’atteignent les utilisateurs
  • Mettre en œuvre les normes d’authentification reconnues pour vérifier que les e-mails sont ce qu’ils prétendent être
  • Apprenez aux employés à détecter les signes avant-coureurs des e-mails suspects et à ce qu’ils doivent faire s’ils en rencontrent un
  • Conseillez aux utilisateurs de vérifier que les e-mails proviennent de l’adresse et de la personne à qui ils prétendent
  • Conseillez aux utilisateurs de ne jamais ouvrir de pièces jointes ou de cliquer sur des liens dans les e-mails d’expéditeurs inconnus

La protection des points de terminaison Sophos, Intercept X, détecte les programmes malveillants du programme d’installation de l’agent Tesla et le RAT lui-même, à la fois par l’apprentissage automatique et les signatures Troj / Tesla-BE et Troj / Tesla-AW.