Posté le avril 20, 2020 à 17:06
LE LOGICIEL MALVEILLANT AGENT TESLA PEUT MAINTENANT S’ATTAQUER AU RÉSEAU WI-FI
Les chercheurs en cybersécurité ont confirmé que certains hackers utilisent désormais Agent Tesla mise à niveau pour voler les mots de passe Wi-Fi des ordinateurs vulnérables.
Les chercheurs en sécurité ont travaillé dur pour rendre très difficile l’infiltration de logiciels malveillants dans les ordinateurs. Mais les hackers ont mis à jour leurs outils de piratage pour qu’ils soient plus sophistiqués et échappent à la détection. Avec l’ajout du module Wi-Fi à Agent Tesla, le cheval de Troie de collecte d’informations, les hackers ont trouvé un moyen de se faufiler et d’installer des logiciels malveillants qu’ils pourront utiliser pour de futures attaques.
Le nouveau module a été découvert par l’équipe de Malwarebytes, qui a récemment accédé au code hautement sophistiqué d’Agent Tesla.
Comment fonctionne Agent Tesla
Après avoir obtenu l’accès au moyen d’une attaque par hameçonnage et avoir infiltré l’ordinateur cible, l’agent Tesla recueillait alors les données du système et les renvoyait au hacker. Les données récupérées comprennent des informations stockées dans la mémoire vive, l’architecture du processeur, le nom d’utilisateur du système, les navigateurs, le téléchargeur de fichiers, ainsi que les clients FTP. Outre ces derniers, l’agent Tesla collecte également des données d’identification Wi-Fi.
Les chercheurs ont également découvert que le logiciel malveillant recherche les profils de réseau sans fil qui sont proches. Il envoie ensuite une commande Netsh et ajoute un argument d’effacement de clé, ainsi que le SSID. Cela permet d’extraire les mots de passe et les noms Wi-Fi sous forme de texte en clair.
Les nouveaux échantillons sont profondément obscurcis et sont conçus par le créateur du logiciel malveillant pour récupérer les informations d’identification du profil sans fil des ordinateurs vulnérables.
Pour récupérer les mots de passe Wi-Fi des SSID (noms de réseau) ciblés, le logiciel malveillant envoie une nouvelle commande Netsh, comme l’ont découvert les chercheurs de Malwarebyte.
Une fois qu’Agent Tesla aura recueilli ces informations, le hacker disposera d’un moyen solide pour attaquer l’ordinateur à l’avenir.
« Nous pensons que cela peut être utilisé comme un mécanisme pour diffuser des logiciels malveillants ou peut-être pour préparer le terrain pour de futures attaques », a souligné Malwarebyte.
Les utilisateurs peuvent éviter l’attaque
Les experts en sécurité ont proposé des moyens d’éviter ce type d’attaque. Ils conseillent aux utilisateurs d’être très prudents lorsqu’ils ouvrent un e-mail suspect, lorsqu’ils cliquent dessus ou lorsqu’ils y répondent.
Selon les experts, la plupart du temps, les e-mails suspects contiennent des logiciels malveillants exécutables qui s’installent et s’exécutent en arrière-plan à l’insu de l’utilisateur. L’agent Tesla peut également être envoyé par le biais de fichiers ZIP et IMG.
Un autre logiciel malveillant a également été mis à niveau avec la capacité de s’attaquer au réseau Wi-Fi
Outre l’Agent Tesla, un autre logiciel malveillant a récemment été amélioré pour avoir la capacité de voler des informations via le réseau Wi-Fi.
Au début de l’année, un cheval de Troie Emotet a été repéré à l’aide d’un outil de diffusion Wi-Fi autonome. Cet outil permet au cheval de Troie d’infiltrer des systèmes connectés à des réseaux vulnérables proches.
Les chercheurs de Binary Defense ont déclaré que la version autonome du diffuseur a été utilisée pour pirater des systèmes vulnérables pendant environ 2 ans sans aucune mise à jour ou modification significative.
Mais les développeurs d’Emotet ont récemment mis à jour le logiciel malveillant afin de le doter d’un module de ver Wi-Fi complet. Ils ont commencé à utiliser le logiciel malveillant en plein air, en infectant des ordinateurs ciblés qui se connectent à des réseaux non sécurisés.
Avec le détournement vers des logiciels malveillants dotés de capacités Wi-Fi, les créateurs d’Emotet tentent de développer un module de vers Wi-Fi extrêmement dangereux et très sophistiqué. Les chercheurs avertissent que ce nouveau module sera probablement fréquemment utilisé.
Un logiciel malveillant avec fonctionnalités RAT et d’enregistrement de frappe
Selon les chercheurs en sécurité, Agent Tesla existe depuis six ans, en tant que logiciel de vol d’informations basé sur .Net. Il est doté d’un cheval de Troie d’accès à distance (RAT) et de fonctions d’enregistrement de frappe.
Avec l’utilisation accrue des ordinateurs à la maison en raison de la pandémie actuelle, les hackers en profitent pour étendre leurs méthodes opérationnelles. Entre mars et avril, Agent Tesla a été envoyé dans le cadre de campagnes de spam dans un large éventail de formats, tels que des documents de bureau, des fichiers IMG, MSI, CAB et ZIP.
Actuellement, c’est l’un des moyens de diffusion de spam le plus courant pour les fraudeurs qui utilisent les attaques par compromission des e-mails professionnels. Ils y ont recours pour prendre des captures d’écran et enregistrer les frappes de clavier des systèmes infectés.
