間諜軟體Agent Tesla變種再現:通過特製Word文檔誘導安裝
近期 Fortinet 研究專家發現臭名昭著的間諜軟體 Agent Tesla 出現了全新的變種,而變種傳播是通過特製的 Microsoft Word文件進行的。
Agent Tesla 是一種用來收集系統鍵擊記錄、剪貼板內容、屏幕截圖、身份憑證的間諜軟體,很多用戶使用這款軟體窺探受害者。為了實現這些功能,這款間諜軟體在主函數中創建了不同的線程和定時函數。
專家首先在去年 6 月份就發現了這款惡意軟體變種。當時他們觀察到威脅樣本中,黑客通過 VBA 宏的自動執行進行軟體的傳播。一旦用戶啟用了文檔中包含的宏,間諜軟體就會在受害者機器上成功安裝。
但在最新發現的行動中,黑客將附件文檔的內容被製作成模糊的樣子,這樣用戶會遵循文檔上的說明,雙擊文檔來得到更清晰的視圖。
而如果用戶照做了,這個文檔就會提取可執行文件,在本地系統的臨時文件中運行。
這個可執行文件名為「POM.exe」。運行的
POM.exe 即開始了惡意軟體的最終安裝程序。
使用分析軟體查看這個可執行文件,可以看到黑客使用的是 MS Visual basic 進行編寫。
根據我的分析,這是一種安裝程序。
運行時,它將兩個文件「filename.exe」和「filename.vbs」放入「%temp%子文件夾」中。
然後在執行文件「filename.vbs」後退出進程。下面中,就是「filename.vbs」的內容。
而為了使這個間諜軟體在系統啟動的時候就開始自動運行,它還會在系統註冊表中添加自己(filename.vbs)。
目前看來,新變種的 C&C伺服器提交數據的方式已經改變。研究員表示,過去的攻擊行動中使用的都是 HTTP POST 來發送收集的數據。但在觀測到的最新變體中,它會使用 SMTPS 將收集到的數據發送到攻擊者的郵箱。
更詳細的 Agent Tesla 變種研究結果請見 Blog 原文。
*參考資料:securityaffairs,kylin編譯,轉載請註明FreeBuf.COM


※Harpoon:OSINT威脅情報工具
※關於網路釣魚的深入討論
TAG:FreeBuf |