Agent Tesla, c’est le nom de ce malware bien connu des spécialistes de cybersécurité. S’il existe depuis 2014, ce virus est en train de connaître une seconde jeunesse grâce à une attaque par phishing très sournoise. L’alerte a été donnée par les experts de Trustwave SpiderLabs cette semaine.
Une attaque difficilement détectable
Concrètement, les cibles reçoivent un e-mail qui imite une notification de paiement bancaire. Intriguée, la victime va cliquer sur un fichier d’archive en pièce jointe pour en savoir plus. Ce dernier a pour nom “Bank Handlowy w Warszawie – dowód wpłaty_pdf.tar.gz”. En réalité, il dissimule un chargeur malveillant qui active ensuite le déploiement de l’agent Tesla sur votre appareil.
Ce malware est assez dangereux par sa capacité à passer inaperçu. Il est ainsi capable de contourner l’interface d’analyse antimalware Windows (AMSI). Il peut alors exfiltrer vos données personnelles sans éveiller les soupçons des antivirus. Notons que l’agent Tesla est également un enregistreur de frappe, ce qui peut se révéler très dangereux.
Dans un billet de blog diffusé pour l’occasion, le chercheur en sécurité Bernard Bautista, souligne ainsi que ce virus est diffusé en utilisant « des méthodes telles que l’application de correctifs pour contourner la détection de l’Antimalware Scan Interface (AMSI) et charger dynamiquement les charges utiles, garantissant ainsi une exécution furtive et minimisant les traces sur le disque ».
Le phishing connaît une recrudescence
Cette alerte est à prendre au sérieux, d’autant que les cybercriminels ont désormais accès à des kits de phishing très performants qui leur permettent de créer de fausses pages internet de connexion ressemblant à celles d’organisations populaires.
Des entreprises françaises très connues font d’ailleurs les frais de ces campagnes de hameçonnage. Nous vous parlions récemment de ce rapport de la société de cybersécurité Vade qui a répertorié 1,76 milliard d’URL de phishing envoyées l’an dernier.
Il apparaît ainsi que six sociétés tricolores figurent dans le top 20 des marques les plus usurpées l’an dernier. Nous retrouvons ainsi le Crédit Agricole en troisième position avec 11 668 URL. Suivent Orange (4e), La Banque Postale (12e), SFR (15e), OVH (17e) et Société Générale (18e). Pour retrouver plus d’informations sur cette étude, c’est par ici.
Ce qu’il faut retenir :
- Le malware Agent Tesla est de retour
- Il se déploie grâce à une attaque par phishing assez sournoise
- Ce cheval de Troie est installé sur l’ordinateur de la cible et il n’est souvent pas détecté par les antivirus
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
