Une nouvelle campagne de phishing liée à Covid diffuse l'agent Tesla RAT

Même si une partie de plus en plus importante de la population mondiale se fait vacciner contre le Covid-19 et que l'hystérie mondiale qui s'était emparée du monde au premier semestre 2020 s'estompe progressivement et que la vie revient lentement à un semblant de normalité, il y a encore assez d'anxiété pour permettre aux mauvais acteurs et aux pirates informatiques de réaliser des stratagèmes liés au virus.

Dans le dernier exemple de campagnes de logiciels malveillants sur le thème de Covid, les chercheurs en sécurité ont remarqué qu'une nouvelle campagne de phishing était en cours, diffusant le cheval de Troie d'accès à distance (RAT) Agent Tesla. La nouvelle poussée pour propager l'agent Tesla a été repérée par des chercheurs roumains en sécurité et utilise un faux plan de vaccination Covid comme leurre.

Le corps des e-mails malveillants est rédigé de manière succincte et professionnelle et encourage les victimes potentielles à prendre des mesures et à examiner une sorte de "problème" inventé avec leur enregistrement de vaccination. L'appât de l'e-mail mentionne des « problèmes techniques » non spécifiés et invite les victimes à cliquer sur un lien. L'un des tout premiers signes qu'il y a quelque chose qui ne va pas avec l'e-mail est qu'il contient plusieurs erreurs grammaticales et syntaxiques dans son texte, malgré sa longueur relativement courte.

L'agent Tesla RAT en lui-même n'a rien de nouveau, il est suivi par des chercheurs en sécurité depuis près d'une décennie maintenant. Même si le RAT était principalement utilisé pour voler des mots de passe dans le passé, ses dernières versions ont un ensemble étendu de capacités malveillantes, y compris une meilleure prévention de la détection et des outils de grattage de données encore meilleurs.

La pièce jointe malveillante contenue dans l'e-mail de phishing est un fichier .rtf au format texte riche qui abuse d'une vulnérabilité assez ancienne qui était extrêmement populaire auprès des mauvais acteurs il y a quelques années. La vulnérabilité en question a été codifiée sous le nom CVE-2017-11882 et a été corrigée depuis longtemps, comme le suggère l'identifiant de l'année 2017 dans le désignateur. Cependant, il semble que celui qui exécute cette dernière campagne soit à la recherche d'utilisateurs qui exécutent toujours des versions obsolètes de Microsoft Office 2007 à 2016.

Toute information que le RAT parvient à extraire du système infecté, il la transfère à ses opérateurs via SMTP.

Comme pour toute campagne de phishing, le meilleur moyen de rester en sécurité est de ne jamais cliquer sur des liens ou ouvrir des pièces jointes contenues dans des e-mails non sollicités. Parfois, des leurres de phishing plus élaborés composés par des locuteurs natifs ont une grammaire parfaite et peuvent même utiliser les logos de l'institution légitime qu'ils essaient d'imiter. Faire très attention et garder une suite anti-malware installée et mise à jour à tout moment peut aider à réduire davantage la menace d'ouvrir un e-mail malveillant et d'être infecté par des logiciels malveillants.