Nous avons constaté une nouvelle campagne malveillante d’envoi d’e-mails en masse aux employés des entreprises grâce à l’utilisation de pièces jointes qui contiennent le logiciel espion Agent Tesla. Cette fois, les cybercriminels ont soigné la préparation de ces messages afin que les employés pensent qu’il s’agit vraiment d’un message professionnel avec des documents en pièce jointe. L’objectif est de leurrer le destinataire afin qu’il ouvre la pièce jointe et exécute le fichier malveillant.
Pourquoi ces messages malveillants sont-ils spéciaux ?
Tout d’abord, les cybercriminels utilisent de vraies entreprises comme camouflage : ils envoient des messages avec des logos authentiques et des signatures qui semblent correctes. Leur anglais est loin d’être parfait ; c’est pourquoi, pour ne pas éveiller les soupçons, ils se présentent comme des citoyens dont l’anglais n’est pas la langue maternelle (de Bulgarie ou de Malaisie, par exemple).
Les cybercriminels envoient une archive malveillante au nom de diverses entreprises, et modifient le texte en conséquence. Parfois, ils demandent le prix de certains articles qui apparaissent soi-disant dans l’archive envoyée aux employés de l’entreprise, ou demandent si un certain produit est disponible. Nous n’avons probablement pas vu toutes les versions utilisées pour leurrer les victimes. L’objectif est de convaincre le destinataire pour qu’il ouvre le fichier et vérifie quels produits intéressent le soi-disant client. Les cybercriminels se sont beaucoup investis dans la préparation de cette attaque, ce qui est rare lorsqu’il s’agit de campagnes d’envoi d’e-mails en masse. Nous avons déjà constaté que ces techniques sont utilisées pour des attaques ciblées.
L’adresse de l’expéditeur est le seul détail qui pourrait éveiller les soupçons du destinataire. Le nom du domaine correspond étrangement à celui de l’entreprise, alors que l’adresse de l’expéditeur diffère du nom qui apparaît dans la signature, ce qui est extrêmement rare dans un message professionnel. Dans l’exemple ci-dessus, le message est envoyé depuis l’adresse « newsletter@ », qui pourrait convenir s’il s’agit d’un e-mail marketing, mais qui n’a aucun sens pour un e-mail qui demande certains prix pour un devis.
Qu’est-ce que le cheval de Troie Agent Tesla ?
Agent Tesla, identifié comme Trojan-PSW.MSIL.Agensla par nos solutions, est un programme malveillant assez ancien qui vole les informations confidentielles et les envoie aux opérateurs de l’attaque. Tout d’abord, il cherche à obtenir les identifiants sauvegardés dans les différents programmes : navigateurs, messages, fournisseurs FTP/SCP, bases de données, outils d’administration à distance, applications VPN et diverses messageries instantanées. Pourtant, Agent Tesla peut aussi voler les données du presse-papiers, enregistrer les frappes de touches et faire des captures d’écran.
Agent Tesla envoie les informations recueillies aux cybercriminels par e-mail. Pourtant, quelques modifications du programme malveillant permettent de transférer les données par Telegram ou de les télécharger sur un site ou sur un serveur FTP.
Vous trouverez plus de renseignements sur ce programme malveillant et sur cette campagne, ainsi que les indicateurs de compromission, dans l’article publié sur Securelist.
Comment vous protéger
Dans l’idéal, ces menaces informatiques doivent être interrompues à un stade précoce, par exemple lorsque le message malveillant entre sur le serveur de messagerie de l’entreprise. Alors qu’une menace peut ne pas être détectée à l’œil nu, les scanners de messagerie peuvent réaliser cette tâche. Ainsi, il convient de protéger votre serveur de messagerie avec une solution de sécurité appropriée.
En revanche, vous devriez envisager de former vos employés afin d’améliorer leurs connaissances. Ainsi, vous pouvez utiliser des plateformes de formation en ligne.
Afin de vous assurer que le programme malveillant envoyé par les cybercriminels n’est pas exécuté, vous devriez installer une solution de sécurité adaptée sur les ordinateurs de vos employés.