AgentTesla,一款采用.Net语言(C#、VB.Net等)编写的间谍软件、键盘记录程序和信息窃取木马,同时也是一款商业化的产品,可以通过其官方网站购买到。
自2014年首次出现以来,与AgentTesla相关联的网络间谍活动几乎就没有中断过,期间甚至还出现了各种各样的变种。就在几天前,FortiGuard Labs就再次捕获了一封旨在传播AgentTesla新变种的钓鱼电子邮件。
接下来,就让我们一起来看看AgentTesla的这个新变种是如何在受感染系统中传播、窃取了哪些数据以及如何将被盗数据上传到命令和控制(C2)服务器的吧。
如你所见,这个新的AgentTesla变种是一个可执行文件。在FortiGuard Labs 捕获的钓鱼电子邮件中,它被命名为“*** Delivery Report.exe”。
分析表明,此文件是已编译的AutoIt可执行文件,可以使用Exe2Aut或myAut2Exe对其进行反编译。
AutoIt代码共包含18个函数,但实际上只有四个会真正执行,具体细节如下:
四个函数中的dpubfytzxt()会执行许多操作,其中之一就是将恶意有效载荷注入RegSvcs.exe进程。
分析表明,被注入RegSvcs.exe进程的有效载荷是一个采用Microsoft Visual C#/Basic.Net编译的32位PE文件。
在进程注入完成之后,有效载荷便会开始查找主流的FTP客户端,如FTPGetter、FTP Navigator、FlashXP以及SmartFTP等。
据称,这个新的AgentTesla能够从60多种软件中窃取保存的凭证,具体如下:
网页浏览器:
电子邮件客户端和Messenger客户端:
VPN、FTP客户端和下载管理器:
最后,所有这些被盗凭证将通过基于SMTP协议的电子邮件发送到攻击者的电子邮箱。
根据FortiGuard Labs的说法,除信息窃取功能外,这个新的AgentTesla变种还配备了许多其他的功能,包括:
事实上,无论是AgentTesla,还是其他恶意软件,钓鱼电子邮件通常都是首选的传播媒介。我们想要再一次提醒,一定不要打开任何未知来源的邮件。即使邮件来自经常联系的人,我们也建议你在打开附件之前,使用杀毒软件对其进行完整的扫描。
本文暂时没有评论,来添加一个吧(●'◡'●)