Nouvelle variante de l’Agent Tesla : attaques par courrier électronique et compression ZPAQ

« ZPAQ est un format de compression de fichiers qui offre un meilleur taux de compression et une fonction de journalisation par rapport aux formats largement utilisés comme ZIP et RAR », a déclaré Anna Lvova, analyste en logiciels malveillants chez G Data, dans une analyse publiée lundi.

« Cela signifie que les archives ZPAQ peuvent être plus petites, ce qui permet d’économiser de l’espace de stockage et de la bande passante lors du transfert de fichiers. Cependant, ZPAQ présente le plus grand inconvénient : une prise en charge logicielle limitée. »

Apparu pour la première fois en 2014, Agent Tesla est un keylogger et un cheval de Troie d’accès à distance (RAT) écrit en .NET qui est proposé à d’autres acteurs de la menace dans le cadre d’un modèle de logiciel malveillant en tant que service (MaaS). Il est souvent utilisé comme charge utile de premier niveau, fournissant un accès à distance à un système compromis et utilisé pour télécharger des outils de second niveau plus sophistiqués tels que des ransomwares. L’agent Tesla est généralement diffusé via des courriels de phishing, les campagnes récentes exploitant une vulnérabilité de corruption de mémoire vieille de six ans dans l’éditeur d’équations de Microsoft Office (CVE-2017-11882).

La dernière chaîne d’attaque commence par un courriel contenant un fichier ZPAQ en pièce jointe qui prétend être un document PDF, dont l’ouverture permet d’extraire un exécutable .NET gonflé qui est principalement rembourré avec zéro octet pour gonfler artificiellement la taille de l’échantillon à 1 Go dans le but de contourner les mesures de sécurité traditionnelles.

« La fonction principale de l’exécutable .NET non archivé est de télécharger un fichier portant l’extension .wav et de le décrypter », explique Mme Lvova. « L’utilisation d’extensions de fichiers courantes permet de déguiser le trafic en trafic normal, ce qui rend plus difficile la détection et la prévention des activités malveillantes par les solutions de sécurité du réseau.
L’objectif final de l’attaque est d’infecter le point d’accès avec l’agent Teslathat qui est obscurci par .NET Reactor, un logiciel de protection de code légitime. Les communications de commandement et de contrôle (C2) s’effectuent via Telegram.

Ce développement est un signe que les acteurs de la menace expérimentent des formats de fichiers inhabituels pour la diffusion de logiciels malveillants, ce qui oblige les utilisateurs à être attentifs aux courriels suspects et à maintenir leurs systèmes à jour.

« L’utilisation du format de compression ZPAQ soulève plus de questions que de réponses », a déclaré Mme Lvova. « Les hypothèses sont les suivantes : soit les acteurs de la menace ciblent un groupe spécifique de personnes qui ont des connaissances techniques ou utilisent des outils d’archivage moins connus, soit ils testent d’autres techniques pour diffuser les logiciels malveillants plus rapidement et contourner les logiciels de sécurité.