密碼竊取軟體AGENT TESLA的傳播渠道分析

新聞 03-18

眾所周知，密碼竊取者是使用惡意軟體進行網路罪犯的。大多數時候，這些密碼竊取者使用的是帶有一個readme或者視頻教程的包（builder+面板）。這些惡意軟體旨在竊取各種軟體的憑證，記錄按鍵，抓取諸如錢包等敏感文件。

在2017年年底，我們發表了一篇文章，討論了Agent Tesla的拆裝和逆向工程。不過，在這篇博客文章中，我們將重點分析普通騙子用來傳播Agent Tesla的基礎設施。我們還將解釋搜尋方法，以檢索關於網路罪犯的信息。

AGENT TESLA

AGENT TESLA是一個提供了很多功能的著名的密碼竊取軟體。該惡意軟體在野外被大量使用，原因是由於它的價格低廉（6個月只需49美元，見官方網站）以及友好的用戶界面，使用該惡意軟體的大部分是腳本小子。AGENT TESLA的建造者提供了三種類型的通信來過濾竊取到的憑證。分別是HTTP、SMTP和FTP（見下圖）。

通過分析BreachFighter（我們的沙盒服務）中傳入的樣本，我們發現最常用的協議是HTTP，其次是SMTP。SMTP選項之所以被skids所喜愛，是因為你只需要一個可用的電子郵件地址——而不需要伺服器、配置等等。該特性的缺點是如果你有樣本，就可以訪問郵件帳戶。出於這個原因，我們將在本文中重點討論SMTP版本。

在對新Agent Tesla樣本研究中我們發現了8674a053118790bc1bb11d188f517c95c2a5471ce2eca36129296f4783015bb8目前很活躍。我們分析了這個樣本，因為它使用了SMTP，並且使用該樣本的網路詐騙者被自己愚弄了。所以這種感染可以讓我們更好地了解那些網路詐騙者使用的基礎設施。

信息收集

挖掘郵件

在獲得證書後，我們發現了一些Agent Tesla捕捉到的網路詐騙者的截屏。正如我們在下面所看到的，桌面上有一些惡意軟體（HawkEye和NanoCore），但也有一些垃圾郵件製作者使用的工具，如Turbo Mailer。

另一個截圖顯示了HawkEye建立者還有一個與blessed2018.com相關的郵件帳戶。在分析時，Skype會話中給出的密碼是錯誤的。但是，通過一些極其複雜的猜測（xD），我們找到了密碼是eris123456。

跟大多數網路詐騙者一樣，他們與Skype或Jabber通信。下面是用「英語」與另一個網路詐騙者的討論。

為了發送垃圾郵件，他們使用了通過Agent Tesla檢索取得竊取的憑證。在某些情況下（不是這種情況），我們也發現在像olux.to（關於這個網站的推文）、toolsbase.ws和 spammer.ro這樣的網站上購買證書、Cpanel、RDP和電子郵件的網路詐騙者。下面是一個帶有被盜證書的記事本，用來發送惡意軟體。

為了找到目標，他們使用了一個名為「Email Extractor Pro」的工具。這個軟體允許從不同的來源提取電子郵件，例如：文件，網站，搜索引擎等等。下面我們可以看到電子郵件提取器的作用。

然後，清理目標郵件列表，並使用網站郵件提取器Lite 1.4將它們分成大塊。下面的截圖顯示，網路詐騙者想要清除用逗號分隔的91.790個郵件，然後將它們分成500份。

在調查過程中，我們看到他們使用了兩種發送垃圾郵件的方法。一種是通過網路郵件「手動」發送電子郵件（見下面的第一個截圖）。另一種技術是使用工具Turbo-Mailer （我們忘記了截圖），這是一款發送大量郵件的程序。

這些行動者通過郵件發送簡單的網路釣魚，但在其他情況下，我們也看到一些惡意軟體是通過LinkedIn傳播的（見下面的例子）。

正如我們在不同的截圖中看到的，網路詐騙者通過RDP使用Windows伺服器。使用該Windows伺服器的目的主要是使用Email Extractor(電子郵件提取器)和Turbo Mailer。也許是用於帶寬。通過挖掘郵件，我們發現了一個帶有IP的截圖和上述伺服器一個有效的用戶名（見下圖）。

在bot主人的郵件中，我們找到了一個奇怪的字元串，它總是在一個長長的電子郵件地址列表的開頭。這個字元串看起來像隨機生成的Mono)Uq#4n%o7。因此，我們猜測這是Windows伺服器的密碼，而地址列表被提供給了Turbo-Mailer。正如我們期望的，它是正確的密碼，我們可以登錄。在伺服器上，我們搜索了瀏覽器的歷史，我們發現了很多與google域名的連接。我們還發現了網路詐騙者使用的新郵件地址（見下面的截圖）。