Agent Tesla se distingue comme un Remote Administration Tool (RAT) avancé, souvent utilisé à des fins malveillantes. Ce malware, à la fois keylogger et voleur d’informations, est capable de surveiller les activités des utilisateurs, d’exfiltrer des données sensibles, et de compromettre gravement la sécurité des victimes. Avec un impact mondial estimé à 3 %, il est essentiel de comprendre son fonctionnement, ses fonctionnalités et ses cas d’usage pour mieux s’en protéger.

Fonctionnement du malware : une machine bien huilée

Agent Tesla suit un processus méthodique pour infecter, s’installer, collecter et exfiltrer des données. Voici une analyse détaillée de ses étapes.

1. Infection initiale

Le point de départ de toute attaque est la diffusion. Agent Tesla utilise principalement les campagnes de phishing, une méthode qui repose sur la manipulation des utilisateurs pour qu’ils ouvrent des pièces jointes infectées ou cliquent sur des liens malveillants.

  • Vecteurs de distribution : Les attaquants ciblent leurs victimes via des emails frauduleux, souvent déguisés en messages légitimes (factures, notifications bancaires, mises à jour COVID-19, etc.).
  • Types de pièces jointes : Ces emails contiennent des fichiers infectés comme :
    • Documents Office (Word, Excel) intégrant des macros malveillantes.
    • Fichiers ZIP contenant des exécutables.
    • PDFs exploitant des vulnérabilités du lecteur de fichiers.

2. Exécution et persistance

Une fois le fichier ouvert, Agent Tesla passe à l’action :

  • Exécution initiale : Le code malveillant est activé, et le malware s’installe discrètement sur la machine cible.
  • Mécanismes de persistance : Il s’assure de survivre à un redémarrage en :
    • Modifiant des clés de registre de démarrage.
    • Copiant ses fichiers dans des répertoires système critiques.

3. Collecte de données

Une fois installé, Agent Tesla commence sa collecte de données :

  • Keylogging : Il enregistre les frappes clavier pour capturer des mots de passe, identifiants ou toute autre information sensible.
  • Captures d’écran : Il prend des instantanés réguliers de l’écran pour surveiller l’activité de l’utilisateur.
  • Surveillance des applications : Il cible les données de logiciels populaires comme les navigateurs web, clients de messagerie (Outlook, Thunderbird), ou encore les clients FTP.

4. Exfiltration des données

L’objectif final est d’exfiltrer les données volées vers des serveurs contrôlés par les attaquants. Pour cela, Agent Tesla utilise divers protocoles comme HTTP, SMTP, FTP, ou même des services en ligne.

Schéma malware AgentTesla

Schéma représentant la chaîne d’infection du malware AgentTesla

Les fonctionnalités avancées de ce malware

Agent Tesla est bien plus qu’un simple keylogger. Ses fonctionnalités en font une menace redoutable et polyvalente :

  1. Keylogger : Capture les frappes clavier, exposant des mots de passe et des données sensibles.
  2. Capture d’écran : Prend des instantanés à intervalles réguliers pour surveiller l’activité.
  3. Exfiltration de données : Transmet les informations volées aux serveurs des attaquants.
  4. Vol de mots de passe : Récupère les identifiants stockés dans les navigateurs web, clients email, et autres logiciels.
  5. Surveillance du presse-papiers : Permet de capturer les informations copiées, comme des numéros de carte bancaire.
  6. Vol de portefeuilles de cryptomonnaies : Cible les wallets numériques installés sur la machine.
  7. Évasion des antivirus : Utilise des techniques avancées pour éviter d’être détecté par les outils de sécurité.

Cas d’usage de l’agent Tesla

Agent Tesla a été utilisé dans divers scénarios, démontrant sa capacité à causer des dommages significatifs dans des environnements variés.

1. Campagne de phishing contre une entreprise

  • Contexte : Un employé reçoit un email apparemment légitime, contenant une facture en pièce jointe.
  • Infection : La macro malveillante dans le document Word exécute Agent Tesla.
  • Conséquences : Les identifiants de connexion de l’employé sont volés, permettant aux attaquants d’accéder aux systèmes internes.

2. Vol de données bancaires

  • Contexte : Un utilisateur ouvre un PDF provenant d’une fausse institution bancaire.
  • Infection : Le PDF exploite une vulnérabilité pour installer le malware.
  • Conséquences : Les identifiants bancaires de l’utilisateur sont capturés et utilisés pour un accès frauduleux à ses comptes.

3. Ciblage de professionnels de la santé

  • Contexte : Des emails prétendument envoyés par des organisations comme l’OMS demandent le téléchargement d’informations sur le COVID-19.
  • Infection : Les documents joints contiennent Agent Tesla.
  • Conséquences : Les informations des patients et les données sensibles des systèmes de santé sont compromises.

Comment se protéger contre Agent Tesla avec les solutions ITrust ?

Pour contrer Agent Tesla, ITrust propose des solutions robustes adaptées aux menaces actuelles :

  1. Ikare : Un scanner de vulnérabilités qui identifie les failles avant qu’elles ne soient exploitées, garantissant une protection proactive.
  2. Reveelium : Une plateforme d’analyse comportementale alimentée par l’IA, capable de détecter des comportements anormaux en temps réel, même face à des menaces inconnues.
  3. Service SOC : Une surveillance 24/7 par des experts pour détecter et bloquer les exfiltrations de données ou activités malveillantes.
  4. Campagne de phishing : ITrust propose des campagnes de phishing pour sensibiliser et former vos équipes à la détection des cybermenaces

Nos produits et services offrent une protection complète et adaptée face à des menaces comme Agent Tesla.