間諜軟體Agent Tesla 再發新變種 攻擊者通過Zoho郵箱接收被盜數據

「用指尖改變世界」

根據FortiGuard威脅研究與響應實驗室的說法，他們在最近捕獲到了一個通過Microsoft Word文檔傳播的新惡意軟體樣本。初步調查結果顯示，這是間諜軟體Agent Tesla 的一個新變種。

Agent Tesla 原本只是一個簡單的鍵盤記錄器，而網路安全公司Zscaler的研究人員在2016年發布的一份分析報告中稱，它已經正式變身成為了一款徹頭徹尾的間諜軟體。

FortiGuard實驗室在2017年6月就已經捕獲到了Agent Tesla的另一個變種（基於微軟.Net框架開發）並對其進行了詳盡的分析。在當時，研究人員發現間諜軟體正在通過包含可自動執行的惡意VBA宏的Microsoft Word文檔進行傳播。打開文檔時，會提示受害者點擊「Enable Content」（啟用內容）按鈕以顯示內容。一旦點擊，間諜軟體便會被自動下載並隱蔽安裝。

FortiGuard實驗室表示，在最近的活動中，新的變種切換成了通過包含嵌入式exe文件的Microsoft Word文檔傳播。打開文檔時，除了一個藍色圖標外，其他內容全都是模糊的。正如你所看到的那樣，它通過文字提示受害者可以通過雙擊文檔中的藍色圖標來啟用「清晰視圖」。一旦受害者按這個指示操作，它將從嵌入對象中提取一個「POM.exe」文件到受感染系統的臨時文件夾中並運行。

FortiGuard實驗室解釋說，POM.exe是採用MS Visual Basic語言編寫的，它是一個安裝程序。運行時，它會將兩個文件（「filename.exe」和「filename.vbs」）放入 「%temp%subfolder」文件夾中。

為了在受感染系統中建立持久性，filename.vbs首先會作為一個啟動程序被添加到系統註冊表中，這樣的操作可以使間諜軟體能夠在系統每次啟動時自動執行。

FortiGuard實驗室表示，新的變種與之前捕獲的變種具有相同的惡意功能，包括：監控並收集受害者的鍵盤輸入、系統剪貼板、受害者屏幕截圖以及收集各種已安裝軟體的憑證。

不同的是，將數據提交給命令和控制（C＆C）伺服器的方式已更改。之前的變種曾使用HTTP POST來發送收集的數據，而新的變種已經切換成了使用SMTPS將收集的數據發送到攻擊者的電子郵箱。

FortiGuard實驗室的研究人員在經過深入分析後，發現了攻擊者使用的SMTP憑證（「用戶名」和「密碼」）及SMTP伺服器。這是一個免費的zoho電子郵件帳戶，研究人員隨即向電子郵件服務提供商告知了這一濫用情況。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！