根据FortiGuard威胁研究与响应实验室的说法，他们在最近捕获到了一个通过Microsoft Word文档传播的新恶意软件样本。初步调查结果显示，这是间谍软件Agent Tesla 的一个新变种。

Agent Tesla 原本只是一个简单的键盘记录器，而网络安全公司Zscaler的研究人员在2016年发布的一份分析报告中称，它已经正式变身成为了一款彻头彻尾的间谍软件。

FortiGuard实验室在2017年6月就已经捕获到了Agent Tesla的另一个变种（基于微软.Net框架开发）并对其进行了详尽的分析。在当时，研究人员发现间谍软件正在通过包含可自动执行的恶意VBA宏的Microsoft Word文档进行传播。打开文档时，会提示受害者点击“Enable Content”（启用内容）按钮以显示内容。一旦点击，间谍软件便会被自动下载并隐蔽安装。

FortiGuard实验室表示，在最近的活动中，新的变种切换成了通过包含嵌入式exe文件的Microsoft Word文档传播。打开文档时，除了一个蓝色图标外，其他内容全都是模糊的。正如你所看到的那样，它通过文字提示受害者可以通过双击文档中的蓝色图标来启用“清晰视图”。一旦受害者按这个指示操作，它将从嵌入对象中提取一个“POM.exe”文件到受感染系统的临时文件夹中并运行。

FortiGuard实验室解释说，POM.exe是采用MS Visual Basic语言编写的，它是一个安装程序。运行时，它会将两个文件（“filename.exe”和“filename.vbs”）放入 “%temp%\subfolder”文件夹中。

为了在受感染系统中建立持久性，filename.vbs首先会作为一个启动程序被添加到系统注册表中，这样的操作可以使间谍软件能够在系统每次启动时自动执行。

FortiGuard实验室表示，新的变种与之前捕获的变种具有相同的恶意功能，包括：监控并收集受害者的键盘输入、系统剪贴板、受害者屏幕截图以及收集各种已安装软件的凭证。

不同的是，将数据提交给命令和控制（C＆C）服务器的方式已更改。之前的变种曾使用HTTP POST来发送收集的数据，而新的变种已经切换成了使用SMTPS将收集的数据发送到攻击者的电子邮箱。

FortiGuard实验室的研究人员在经过深入分析后，发现了攻击者使用的SMTP凭证（“用户名”和“密码”）及SMTP服务器。这是一个免费的zoho电子邮件帐户，研究人员随即向电子邮件服务提供商告知了这一滥用情况。