天创培训:您身边的信息安全培训专家!
行业动态
间谍软件Agent Tesla 再发新变种 攻击者通过Zoho邮箱接收被盗数据

间谍软件Agent Tesla 再发新变种 攻击者通过Zoho邮箱接收被盗数据

根据FortiGuard威胁研究与响应实验室的说法,他们在最近捕获到了一个通过Microsoft Word文档传播的新恶意软件样本。初步调查结果显示,这是间谍软件Agent Tesla 的一个新变种。

Agent Tesla 原本只是一个简单的键盘记录器,而网络安全公司Zscaler的研究人员在2016年发布的一份分析报告中称,它已经正式变身成为了一款彻头彻尾的间谍软件。

FortiGuard实验室在2017年6月就已经捕获到了Agent Tesla的另一个变种(基于微软.Net框架开发)并对其进行了详尽的分析。在当时,研究人员发现间谍软件正在通过包含可自动执行的恶意VBA宏的Microsoft Word文档进行传播。打开文档时,会提示受害者点击“Enable Content”(启用内容)按钮以显示内容。一旦点击,间谍软件便会被自动下载并隐蔽安装。

FortiGuard实验室表示,在最近的活动中,新的变种切换成了通过包含嵌入式exe文件的Microsoft Word文档传播。打开文档时,除了一个蓝色图标外,其他内容全都是模糊的。正如你所看到的那样,它通过文字提示受害者可以通过双击文档中的蓝色图标来启用“清晰视图”。一旦受害者按这个指示操作,它将从嵌入对象中提取一个“POM.exe”文件到受感染系统的临时文件夹中并运行。

FortiGuard实验室解释说,POM.exe是采用MS Visual Basic语言编写的,它是一个安装程序。运行时,它会将两个文件(“filename.exe”和“filename.vbs”)放入 “%temp%\subfolder”文件夹中。

为了在受感染系统中建立持久性,filename.vbs首先会作为一个启动程序被添加到系统注册表中,这样的操作可以使间谍软件能够在系统每次启动时自动执行。

FortiGuard实验室表示,新的变种与之前捕获的变种具有相同的恶意功能,包括:监控并收集受害者的键盘输入、系统剪贴板、受害者屏幕截图以及收集各种已安装软件的凭证。

不同的是,将数据提交给命令和控制(C&C)服务器的方式已更改。之前的变种曾使用HTTP POST来发送收集的数据,而新的变种已经切换成了使用SMTPS将收集的数据发送到攻击者的电子邮箱。

FortiGuard实验室的研究人员在经过深入分析后,发现了攻击者使用的SMTP凭证(“用户名”和“密码”)及SMTP服务器。这是一个免费的zoho电子邮件帐户,研究人员随即向电子邮件服务提供商告知了这一滥用情况。