Agent Tesla : Le Malware dans les fichiers Microsoft Office

Agent Tesla est un malware professionnel dans l’espionnage de ses victimes. De type spyware, sa particularité est d’être persistant grâce à son logiciel espion.

Découvert pour la première fois en 2014, il est de retour dans le TOP 5 des malwares les plus analysés ces dernières semaines. L’équipe sécurité de DFi a pu remarquer récemment une augmentation des attaques liées à ce type logiciel malveillant.

Son vecteur d’infection préféré est l’email. La plupart du temps, un email frauduleux est envoyé aux victimes avec une pièce jointe (semblable à d’autres malwares actuels) de type Microsoft Office (Word, Excel, etc.).

Lors de l’ouverture du document, il est demandé d’activer les macros de manière que le malware puisse se propager :

Quelle que soit son origine, à sa première exécution, le malware effectue des actions de persistance (à l’aide d’Auto-Run group et/ou tâches planifiées) de manière à être relancé à chaque démarrage de la machine.

Processus de mise en place de sa persistance :

  • Création d’un dossier dans %APPDATA% avec un nom « aléatoire » (chaine de caractère n’ayant pas de sens direct)
  • L’exécutable du malware est placé dans le dossier créé
  • Création d’une clé de registre de type REG_SZ dans « HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ » pointant vers l’exécutable dans %APPDATA%

ou

  • Création d’une tâche planifiée pour lancer l’exécutable place dans %APPDATA% au démarrage du système

          

Pour semer le doute, une succession de processus sont créés et exécutés avant d’arriver à l’exécutable final qui opère sur la machine de la victime. De plus, de manière à contourner les antivirus tous les éléments du malware sont offusqués.

Dans son fonctionnement, Agent Tesla, une fois lancé sur une machine, il est capable de :

  • Lire les touches clavier (keylogger)
  • Lire le presse-papier (et le modifier)
  • Voler les informations utilisateurs
  • Voler les données enregistrées (mots de passe dans les navigateurs, portefeuilles cryptomonnaie, cookies navigateurs, données de formulaire, etc.)
  • Voler les informations de connexion de client FTP (Filezilla, etc.)
  • Voler les identifiants de clients VPN (Open-VPN, etc.)
  • Voler les identifiants mail (IMAP, POP3, SMTP)
  • Enregistrer des audios (micro du PC) et vidéos (webcam)
  • Prendre des captures d’écran

Le malware utilise différentes manières pour exfiltrer les données : SMTP, FTP, HTTP, TOR ou encore Telegram. En fonction de sa version et de ce qu’il lui est possible de faire sur la machine de la victime.

Exemple d’attaque :

Réception d’un email de phishing  Ouverture d’un fichier Word et activation des macros Exécution de la macro : téléchargement et exécution d’un premier processus par le malware Exécution en cascade de plusieurs processus : déploiement de la souche malveillante Mise en place de la persistance et collecte des données initiales Envoi de données au serveur distant au travers de HTTP Envoi récurrent des informations à l’attaquant

Dans cet exemple, l’utilisateur reçoit un email malveillant contenant une pièce jointe : un fichier Word. Il l’ouvre et reçoit une demande pour activer les macros. L’utilisateur se rend compte que le fichier est en fait vide et le ferme. A la fermeture de celui-ci, la macro s’exécute : téléchargement et exécution d’un premier exécutable.

Le premier exécutable du malware contenu dans la macro est un élément permettant d’en télécharger un autre. Une succession d’exécutables (DLL) sont alors téléchargés et lancés. Ainsi le malware se déploie sur le système de la victime.

Le dernier exécutable va alors agir pour :

  • Télécharger la dernière version du malware
  • Mettre en place de persistance par l’ajout d’une clé de registre

Une fois le malware en place, il va commencer à récupérer toutes les données disponibles. Après avoir terminé sa collecte d’information, celui-ci envoie toutes les données en HTTP au serveur de l’attaquant. A l’aide à la persistance et ses capacités de keylogger, le logiciel malveillant va continuer d’envoyer les informations de manière récurrente à l’attaquant.

Pour éviter cette situation, nous vous recommandons de prendre en considération les actions préventives suivantes :

  • Sensibiliser un maximum les utilisateurs
  • Ne jamais enregistrer des données dans les navigateurs
  • Disposer d’une solution de détection des menaces types EPP ou EDR
  • Appliquer une politique de mot de passe forte et unique incluant l’utilisation du 2FA
  • Mettre en place une politique de restrictions des macros par clé de registre (Si possible)

Et surtout, restez toujours vigilants.

Annexe :

Vous pouvez retrouver la TTP du malware Agent Tesla sur le site de MITRE ATT&CK : ici

Glossaire :

Malware : Terme général désignant un logiciel malveillant.

Spyware : Terme qualifiant les logiciels espions / mouchards

Keylogger : Logiciel ou partie de logiciel malveillant visant à capturer les frappes clavier

EPP : Endpoint Protection Platform

EDR : Endpoint Detection and Response

2FA : Système d’authentification à double facteur (SMS, token, etc.)

TTP : Tactics Techniques Procedures

(Source : MITTRE ATT&CK)

Partager cet article