15/11/2024
IT-Connect » Actualités » Actu Cybersécurité » Phishing : le malware Agent Tesla utilise le format de fichiers ZPAQ dans ses dernières attaques !

Malware Agent Tesla - Phishing - Pièce jointe au format ZPAQ
Actu Cybersécurité

Phishing : le malware Agent Tesla utilise le format de fichiers ZPAQ dans ses dernières attaques !

Florian BURNEL 0 commentaire

Une nouvelle version du malware Agent Tesla a été observée par des chercheurs en sécurité. Il présente la particularité d'utiliser le format de fichiers ZPAQ. Voici ce qu'il faut savoir au sujet de cette menace !

Découvert pour la première fois en 2014, le logiciel malveillant Agent Tesla est codé en .NET et s'agit à la fois d'un keylogger et d'un Remote Access Trojan, c'est-à-dire que les pirates peuvent l'utiliser pour accéder à distance à une machine infectée. Il est souvent distribué par l'intermédiaire de campagnes de phishing.

La dernière campagne dans laquelle Agent Tesla est impliquée présente une particularité : l'e-mail contient une pièce jointe au format ZPAQ. Anna Lvova de chez G Data, précise : "ZPAQ est un format de compression de fichiers qui offre un meilleur taux de compression et une meilleure fonction de journalisation que les formats largement utilisés tels que ZIP et RAR."

Dans le cas présent, le nom de la pièce jointe est constitué de façon à faire croire qu'il s'agisse d'un PDF : "Purchase Order pdf.zpaq". Toutefois, c'est bien un piège puisque ce fichier malveillant a pour objectif d'extraire un exécutable .NET sur la machine ! Cette archive pèse 6 Ko, pourtant lorsqu'elle est décompressée, l'exécutable pèse 1 Go ! Sa taille est volontairement augmentée (grâce à des octets nuls) de manière à ce qu'il ne puisse pas être analysé par la majorité des systèmes de sécurité.

Malware Agent Tesla - Format zpaq

Pour générer du trafic légitime et éviter d'être détecté, l'exécutable va télécharger un autre fichier, au format .WAV cette fois-ci. Dans son rapport, Anna Lvova précise : "La principale fonction de l'exécutable .NET est de télécharger un fichier portant l'extension .wav et de le déchiffrer."

Au final, lorsque la machine est infectée, une connexion est établie avec les pirates à l'aide de Telegram qui fait office de serveur de Command & Control (C2). Il pourra ensuite mettre en pratique ses capacités, notamment le vol de données dans les navigateurs (40 navigateurs pris en charge), l'enregistrement de l'écran, ou encore l'enregistrement des frappes au clavier.

Désormais, vous savez ce qu'il vous reste à faire : bloquer les fichiers ZPAQ, notamment au niveau de votre passerelle d'analyse des courriers entrants.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

ANSSI APT28 Rapport sécurité

L’ANSSI s’est intéressée au groupe APT28, à l’origine de nombreuses attaques en France

Florian BURNEL 0
Sécurité - Namecheap - Phishing DHL et MetaMask

Le système d’e-mails de Namecheap détourné pour envoyer du phishing !

Florian BURNEL 0

La protection des données personnelles

Florian BURNEL 1

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.