Nouvelle Variante d’Agent Tesla Utilisant la Compression ZPAQ
La nouvelle variante du malware Agent Tesla est diffusée par des fichiers leurre utilisant le format de compression ZPAQ. Ce format offre de meilleurs taux de compression et une fonction de journalisation par rapport aux formats courants comme ZIP et RAR. Cela permet de réduire la taille des fichiers, économisant ainsi de l’espace de stockage et de la bande passante lors du transfert de fichiers. Source.
Vous voulez sécuriser votre entreprise contre les menaces comme Agent Tesla ?
Contactez-nous dès aujourd'hui pour une protection proactive avec notre solution antispam.
Discutez avec nos experts en cybersécuritéCaractéristiques d’Agent Tesla
Apparu pour la première fois en 2014, Agent Tesla est un keylogger et un cheval de Troie d’accès à distance (RAT) écrit en .NET, disponible en tant que malware-as-a-service (MaaS). Il est souvent utilisé comme charge utile de première étape, offrant un accès à distance à un système compromis et utilisé pour télécharger des outils de deuxième étape plus sophistiqués, comme des ransomwares.
Mécanisme de la Chaîne d’Attaque
L’attaque commence par un email contenant une pièce jointe ZPAQ qui se prétend être un document PDF. Son ouverture extrait un exécutable .NET gonflé, majoritairement rempli de zéros pour atteindre environ 1 Go afin d’éviter les mesures de sécurité traditionnelles. La fonction principale de l’exécutable décompressé est de télécharger un fichier avec une extension .wav et de le décrypter.
Objectif Final et Communication
L’objectif de l’attaque est d’infecter le point de terminaison avec Agent Tesla, qui est obscurci à l’aide de .NET Reactor, un logiciel légitime de protection de code. Les communications de commande et de contrôle (C2) sont réalisées via Telegram.
Implications et Spéculations
Ce développement indique que les acteurs de la menace expérimentent avec des formats de fichiers moins courants pour la livraison de malwares. L’utilisation du format de compression ZPAQ soulève plus de questions que de réponses, indiquant soit que les acteurs de la menace ciblent un groupe spécifique de personnes ayant des connaissances techniques, soit qu’ils testent d’autres techniques pour propager plus rapidement les malwares et contourner les logiciels de sécurité.
Proactivité : Action, Réaction !
Dhala Cyberdéfense adopte une approche proactive en bloquant l’extension ZPAQ via l’antispam pour tous nos clients. Cette stratégie renforce la sécurité en empêchant préventivement l’accès aux fichiers potentiellement malveillants. En réagissant rapidement aux nouvelles menaces comme la variante d’Agent Tesla utilisant ZPAQ, Dhala Cyberdéfense démontre son engagement à offrir une protection de pointe contre les cyberattaques sophistiquées.