當前位置:
首頁 > 新聞 > 間諜軟體Agent Tesla變種再現:通過特製Word文檔誘導安裝

間諜軟體Agent Tesla變種再現:通過特製Word文檔誘導安裝

近期 Fortinet 研究專家發現臭名昭著的間諜軟體 Agent Tesla 出現了全新的變種,而變種傳播是通過特製的 Microsoft Word文件進行的。


Agent Tesla 是一種用來收集系統鍵擊記錄、剪貼板內容、屏幕截圖、身份憑證的間諜軟體,很多用戶使用這款軟體窺探受害者。為了實現這些功能,這款間諜軟體在主函數中創建了不同的線程和定時函數。


專家首先在去年 6 月份就發現了這款惡意軟體變種。當時他們觀察到威脅樣本中,黑客通過 VBA 宏的自動執行進行軟體的傳播。一旦用戶啟用了文檔中包含的宏,間諜軟體就會在受害者機器上成功安裝。



但在最新發現的行動中,黑客將附件文檔的內容被製作成模糊的樣子,這樣用戶會遵循文檔上的說明,雙擊文檔來得到更清晰的視圖。

而如果用戶照做了,這個文檔就會提取可執行文件,在本地系統的臨時文件中運行。



這個可執行文件名為「POM.exe」。運行的 

POM.exe 即開始了惡意軟體的最終安裝程序。


使用分析軟體查看這個可執行文件,可以看到黑客使用的是 MS Visual basic 進行編寫。




根據我的分析,這是一種安裝程序。


運行時,它將兩個文件「filename.exe」和「filename.vbs」放入「%temp%子文件夾」中。


然後在執行文件「filename.vbs」後退出進程。下面中,就是「filename.vbs」的內容。



而為了使這個間諜軟體在系統啟動的時候就開始自動運行,它還會在系統註冊表中添加自己(filename.vbs)。


目前看來,新變種的 C&C伺服器提交數據的方式已經改變。研究員表示,過去的攻擊行動中使用的都是 HTTP POST 來發送收集的數據。但在觀測到的最新變體中,它會使用 SMTPS 將收集到的數據發送到攻擊者的郵箱。


更詳細的 Agent Tesla 變種研究結果請見 Blog 原文。


*參考資料:securityaffairs,kylin編譯,轉載請註明FreeBuf.COM


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

Harpoon:OSINT威脅情報工具
關於網路釣魚的深入討論

TAG:FreeBuf |