[ad_1]

Un programme de vol de mot de passe puissant et facile à utiliser connu sous le nom de AgentTesla infecte les ordinateurs depuis 2014, mais récemment, cette souche de malware a connu un regain de popularité, attirant plus de 6 300 clients qui paient des frais d’abonnement pour obtenir une licence du logiciel. Bien que l’agent Tesla inclue une multitude de fonctionnalités conçues pour l’aider à rester non détecté sur les ordinateurs hôtes, le créateur apparent du malware semble n’avoir fait que peu de choses pour cacher son identité réelle.

Les propriétaires d’Agent Tesla commercialisent leur produit à agenttesla-point-comvendant l’accès au logiciel en licences payées via bitcoin, pour des prix allant de 15$ à 69$ selon les fonctionnalités recherchées.

Le site Web de l’agent Tesla souligne que le logiciel est strictement « pour surveiller votre personnel [sic] l’ordinateur. » La page « à propos » du site indique que l’agent Tesla « n’est pas un logiciel malveillant. S’il vous plaît, ne l’utilisez pas pour les ordinateurs qui ne sont pas autorisés à accéder. Pour soutenir cette clause de non-responsabilité, le site avertit que tout utilisateur surpris en train de faire autrement verra ses licences logicielles révoquées et ses abonnements annulés.

Dans le même temps, le site Web Agent Tesla et son canal d’assistance technique 24h/24 et 7j/7 (offert via Discorde) regorge d’exemples de personnel d’assistance expliquant aux utilisateurs les moyens d’échapper à la détection des logiciels antivirus, d’utiliser les vulnérabilités logicielles pour déployer le produit et de regrouper secrètement le programme dans d’autres types de fichiers, tels que des images, du texte, de l’audio et même Microsoft Office des dossiers.

Une description de certaines des options affichées sur le site Web de vente de l’agent Tesla.

En août 2018, la société de sécurité informatique LastLine a déclaré avoir été témoin d’une augmentation de 100% des instances de l’agent Tesla détecté dans la nature sur une période de trois mois seulement.

« Agissant comme un voleur d’informations entièrement fonctionnel, il est capable d’extraire les informations d’identification de différents navigateurs, messageries et clients FTP », a écrit LastLine. « Il enregistre les données des clés et des presse-papiers, capture l’écran et la vidéo, et effectue des attaques par capture de formulaire (Instagram, Twitter, Gmail, Facebook, etc.). »

La plupart des options incluses dans Agent Tesla tournent autour de la furtivité, de la persistance, de l’évitement des outils de sécurité, de la propagation à d’autres ordinateurs ou de la falsification des paramètres système.

JE PEUX HAZ TESLA

Les premières versions de l’agent Tesla ont été mises à disposition gratuitement via une langue turque WordPress site qui, curieusement, reste en ligne (agenttesla.wordpress-dot-com), bien que sa page d’accueil demande désormais aux utilisateurs de visiter le domaine AgentTesla-dot-com actuel. Peu de temps après la création de ce site WordPress, son ou ses auteurs ont commencé à facturer le logiciel, acceptant les paiements par divers moyens, notamment Pay PalBitcoin et même virement bancaire vers plusieurs comptes bancaires en Turquie.

Registres historiques d’enregistrement du site Web WHOIS conservés par Domaintools.com montrent que le domaine actuel du logiciel – agenttesla-dot-com – a été enregistré en 2014 par un jeune homme d’Antalya, en Turquie, nommé Mustafa peut Ozaydinet à l’adresse e-mail [email protected]. À la mi-2016, les enregistrements d’enregistrement du site ont été cachés derrière les services de confidentialité WHOIS [full disclosure: Domaintools is a previous advertiser on BreachTrace].

Cette adresse Gmail est liée à un compte Youtube.com pour un Turc du même nom qui a mis en ligne exactement trois vidéos au cours des quatre dernières années. Dans l’un d’eux, téléchargé en octobre 2017 et intitulé « panneau Web », M. can Ozaydin montre comment configurer un site Web. Vers 3h45 dans la vidéo, nous pouvons voir que le but de cette démonstration est de montrer aux gens une façon d’installer un panneau de contrôle Agent Tesla pour suivre les systèmes infectés par le malware.

Incidemment, l’administrateur du canal d’assistance en direct 24h/24 et 7j/7 pour les utilisateurs de l’agent Tesla a demandé à un moment donné aux clients de visionner cette même vidéo s’ils avaient du mal à comprendre comment déployer le panneau de contrôle.

La photo de profil affichée sur ce compte Youtube est remarquablement similaire à celle affichée sur le Compte Twitter « MCanOZAYDIN.” Ce profil Twitter ne fait aucune mention de l’agent Tesla, mais il indique que Mustafa can Ozaydin est un « spécialiste des technologies de l’information » à Antalya, en Turquie.

Ce profil Twitter apparaît également sur un compte Facebook pour un Mustafa can Ozaydin de la Turquie. UNE Profil LinkedIn pour une personne du même nom d’Antalya, la Turquie déclare que M. can Ozaydin est actuellement un « expert en support de systèmes » pour Groupe de soins de santé commémoratifun hôpital à Istanbul.

BreachTrace a d’abord sollicité des commentaires sur tous ces comptes en août 2018, mais n’a reçu aucune réponse. Les tentatives répétées pour atteindre ces comptes la semaine dernière n’ont également suscité aucune réponse.

LOGICIEL MALVEILLANT OU OUTIL D’ACCÈS À DISTANCE BÉNIGN ?

De nombreux lecteurs ici ont estimé que des outils tels que l’agent Tesla ne sont fonctionnellement pas différents des « outils d’administration à distance » plus courants tels que GoToMyPC, VNCou Connexiondes produits fréquemment utilisés par le personnel du support technique pour gérer à distance un ou plusieurs systèmes auxquels ce personnel dispose légitimement de droits d’accès.

Les procureurs fédéraux américains, quant à eux, ont adopté une position différente. À savoir, lorsqu’une personne vendant un outil d’administration à distance commence à expliquer aux clients comment installer le produit d’une manière qui est sans doute trompeuse (par exemple en utilisant des exploits logiciels, du spam ou en déguisant l’outil en un autre programme), le propriétaire a franchi une étape légale ligne et peut faire l’objet de poursuites pénales en vertu des lois sur l’utilisation abusive des ordinateurs.

Dans de précédentes affaires de ce type, l’argument de l’accusation reposait sur l’obtention de journaux de chat montrant que le vendeur de logiciels savait très bien que son produit était utilisé pour infecter des ordinateurs à l’insu ou sans l’autorisation des utilisateurs.

La semaine dernière, un homme de Lexington, dans le Kentucky, a été condamné à 30 mois de prison fédérale après avoir plaidé coupable de complot en vue d’accéder illégalement à des ordinateurs en lien avec sa paternité reconnue d’un outil d’accès à distance appelé LuminositéLien.

Colton Grubbs, 21 ans, a admis avoir vendu son logiciel pour 39,99 $ pièce à plus de 6 000 clients dans au moins 78 pays différents. LuminosityLink a permis à ses clients d’enregistrer les touches que les victimes ont appuyées sur leurs claviers, d’espionner les victimes à l’aide des caméras et des microphones de leurs ordinateurs, de visualiser et de télécharger les fichiers des ordinateurs et de voler les noms et mots de passe utilisés pour accéder aux sites Web.

« Directement et indirectement, Grubbs a offert une assistance à ses clients sur la façon d’utiliser LuminosityLink pour les intrusions informatiques non autorisées via des publications et des discussions de groupe sur des sites Web tels que HackForums », a déclaré le ministère de la Justice. a écrit dans un communiqué de presse sur la condamnation. Grubbs doit également renoncer au produit de ses crimes, dont 114 bitcoins, actuellement évalués à plus de 725 000 dollars.

À peu près au moment où Grubbs a cessé de répondre aux demandes d’assistance sur les Hackforums, les procureurs fédéraux obtenaient un plaidoyer de culpabilité contre Taylor Huddlestonun programmeur alors âgé de 27 ans de l’Arkansas qui a vendu le « NanoCore RAT.” Comme Grubbs, Huddleston a d’abord plaidé non coupable d’accusations d’intrusion informatique, arguant qu’il n’était pas responsable de la façon dont les clients utilisaient ses produits.

C’est-à-dire jusqu’à ce que les procureurs présentent des journaux Skype montrant que Huddleston aidait régulièrement les acheteurs à déterminer comment utiliser les outils pour compromettre secrètement des ordinateurs distants. Huddleston purge actuellement une peine de 33 mois après avoir plaidé coupable d’avoir vendu le NanoCore RAT.

Mise à jour, 30 octobre, 9 h 42 HE : Le 25 octobre, trois jours après la publication de cette histoire, les vendeurs derrière AgentTesla ont mis à jour leur site pour dire qu’ils suspendraient les ventes du produit « pendant un certain temps ». Voici leur déclaration complète :

Nous avons cessé de vendre pendant un certain temps. Nous travaillerons sur de nouvelles mesures pendant quelques jours. Certains comptes seront bannis dans ce processus. Récemment, l’agent Tesla est utilisé par des personnes malveillantes. De nombreux comptes détectés ont été bannis indéfiniment. Après cela, nous serons plus prudents et prendrons des mesures plus strictes. Personne ne peut commettre un crime en utilisant l’agent Tesla, nous refusons. (Veuillez consulter nos conditions : https://www.agenttesla-com/terms-of-use | https://www.agenttesla-com/eula [link hobbled]

Personne n’a jamais été aidé pour ses activités illégales et ne le sera pas par la suite. Si vous recherchez un programme à usage illégal, vous pouvez le quitter immédiatement.

J’aimerais vous parler de deux changements :

1) Nous avons décidé que nous devions prendre de nouvelles mesures. Tous les fichiers créés par la suite seront enregistrés dans la base de données avec sha256, les sommes de contrôle MD5 avec votre nom d’utilisateur. Si les fichiers signalés par différentes personnes sont détectés, le compte, l’adresse IP et le HWID seront bannis sans aucun doute. Nous suivrons certains rapports et analyserons les sites à jour avec des balises. Nous faisons cela parce que les gens essaient d’être célèbres en écrivant un article de blog au lieu de nous envoyer un échantillon de fichier. Si votre fichier est entre les mains de quelqu’un d’autre, vous avez fait SPREAD. Vous ne pouvez pas diffuser votre fichier sur Internet.

2) Nous supprimons les fonctions qui sont exploitées par des personnes malveillantes et impossibles à retourner.

Fonctions à supprimer :

• Capture webcam,

• Anti AV,

• Tueurs de processus,

• Téléchargeur,

• Persistance

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *