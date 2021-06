Une nouvelle version du cheval de Troie d’accès à distance connu sous le nom d’Agent Tesla a refait surface, distribuant cette fois ce que les chercheurs ont trouvé est une version mise à jour du malware en utilisant une pièce jointe infectée qui vise à tout voler, du nom d’utilisateur et du mot de passe à la crypto-monnaie d’une victime.

Ce malware est en fait assez courant et existe depuis au moins 2014. Les chercheurs de Fortinet dans un rapport de recherche sur les menaces récemment publié notent qu’il s’agit d’un document Microsoft Excel joint à un courrier indésirable par lequel le malware télécharge et exécute plusieurs morceaux de code. “Ce malware”, expliquent les chercheurs, “est utilisé pour détourner les informations d’adresse bitcoin et fournir une nouvelle variante de l’agent Tesla sur l’appareil de la victime.” Concernant l’agent Tesla, les chercheurs poursuivent : « La plupart des attaquants aiment diffuser des logiciels malveillants dans les e-mails de phishing. En conséquence, de nouvelles campagnes de phishing sont détectées chaque jour par FortiGuard Labs. Les gens devraient être plus prudents lorsqu’ils ouvrent des fichiers joints à un e-mail.

Selon les rapports de ZDNet, l’e-mail utilisé comme vecteur pour cette attaque est conçu pour ressembler à un e-mail professionnel légitime, avec un exemple d’e-mail malveillant dans le cadre de cette campagne comprenant une pièce jointe Excel intitulée « Exigences et spécifications de la commande » que le destinataire est demandé d’ouvrir. Une fois qu’ils l’ont fait, l’agent Tesla est téléchargé sur la machine de la victime.

Plus tôt cette année, les chercheurs de Sophos ont averti que l’agent Tesla était une menace particulièrement résistante et pernicieuse. « Pendant de nombreux mois, il est resté parmi les principales familles de logiciels malveillants dans les pièces jointes malveillantes capturées par Sophos. En raison de ce flux soutenu d’attaques de l’agent Tesla, nous pensons que le malware continuera d’être mis à jour et modifié par ses développeurs pour échapper aux outils de protection des terminaux et des e-mails. Il a également été noté que parmi les nouvelles capacités de cette variante mise à jour de l’agent Tesla, il est désormais possible de récupérer des données du presse-papiers de Windows, en plus du nombre d’applications qu’il peut cibler ayant été « considérablement étendu ».

Les protections recommandées pour protéger les utilisateurs contre de telles menaces sont les mêmes que toujours et sans surprise. Sophos, par exemple, note que les comptes de messagerie utilisés pour diffuser l’agent Tesla ont tendance à être des comptes légitimes qui ont été compromis. Pour cette raison, il ne faut jamais cliquer sur ouvrir un e-mail sans réfléchir, ni ouvrir automatiquement les pièces jointes que ces e-mails contiennent. « Les organisations et les particuliers doivent, comme toujours, traiter avec prudence les pièces jointes des e-mails provenant d’expéditeurs inconnus et vérifier les pièces jointes avant de les ouvrir », ajoute Sophos.

