間諜軟體Agent Tesla變種再現：通過特製Word文檔誘導安裝

近期 Fortinet 研究專家發現臭名昭著的間諜軟體 Agent Tesla 出現了全新的變種，而變種傳播是通過特製的 Microsoft Word文件進行的。

Agent Tesla 是一種用來收集系統鍵擊記錄、剪貼板內容、屏幕截圖、身份憑證的間諜軟體，很多用戶使用這款軟體窺探受害者。為了實現這些功能，這款間諜軟體在主函數中創建了不同的線程和定時函數。

專家首先在去年 6 月份就發現了這款惡意軟體變種。當時他們觀察到威脅樣本中，黑客通過 VBA 宏的自動執行進行軟體的傳播。一旦用戶啟用了文檔中包含的宏，間諜軟體就會在受害者機器上成功安裝。

但在最新發現的行動中，黑客將附件文檔的內容被製作成模糊的樣子，這樣用戶會遵循文檔上的說明，雙擊文檔來得到更清晰的視圖。

而如果用戶照做了，這個文檔就會提取可執行文件，在本地系統的臨時文件中運行。

這個可執行文件名為「POM.exe」。運行的 

POM.exe 即開始了惡意軟體的最終安裝程序。

使用分析軟體查看這個可執行文件，可以看到黑客使用的是 MS Visual basic 進行編寫。

根據我的分析，這是一種安裝程序。

運行時，它將兩個文件「filename.exe」和「filename.vbs」放入「％temp％子文件夾」中。

然後在執行文件「filename.vbs」後退出進程。下面中，就是「filename.vbs」的內容。

而為了使這個間諜軟體在系統啟動的時候就開始自動運行，它還會在系統註冊表中添加自己（filename.vbs）。

目前看來，新變種的 C＆C伺服器提交數據的方式已經改變。研究員表示，過去的攻擊行動中使用的都是 HTTP POST 來發送收集的數據。但在觀測到的最新變體中，它會使用 SMTPS 將收集到的數據發送到攻擊者的郵箱。

更詳細的 Agent Tesla 變種研究結果請見 Blog 原文。

*參考資料：securityaffairs，kylin編譯，轉載請註明FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！