安基網 首頁 資訊 安全報 查看內容

間諜軟件AgentTesla又現新變種,正通過釣魚電子郵件傳播

2020-4-7 12:33| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: AgentTesla,一款采用.Net語言(C#、VB.Net等)編寫的間諜軟件、鍵盤記錄程序和信息竊取木馬,同時也是一款商業化的產品,可以通過其官方網站購買到。自2014年首次出現以來,與AgentTesla相關聯的網絡間諜活動幾乎就沒有中斷過,期間甚至還出現了各種各樣的變種。就在幾天前,FortiGuard Labs就再次捕 ...

AgentTesla,一款采用.Net語言(C#、VB.Net等)編寫的間諜軟件、鍵盤記錄程序和信息竊取木馬,同時也是一款商業化的產品,可以通過其官方網站購買到。

自2014年首次出現以來,與AgentTesla相關聯的網絡間諜活動幾乎就沒有中斷過,期間甚至還出現了各種各樣的變種。就在幾天前,FortiGuard Labs就再次捕獲了一封旨在傳播AgentTesla新變種的釣魚電子郵件。

接下來,就讓我們一起來看看AgentTesla的這個新變種是如何在受感染系統中傳播、竊取了哪些數據以及如何將被盜數據上傳到命令和控制(C2)服務器的吧。

感染鏈分析

如你所見,這個新的AgentTesla變種是一個可執行文件。在FortiGuard Labs 捕獲的釣魚電子郵件中,它被命名為“*** Delivery Report.exe”。

圖1.釣魚電子郵件

分析表明,此文件是已編譯的AutoIt可執行文件,可以使用Exe2Aut或myAut2Exe對其進行反編譯。

圖2.使用Exe2Aut反編譯的可執行文件

AutoIt代碼共包含18個函數,但實際上只有四個會真正執行,具體細節如下:

圖3.實際執行的四個函數

四個函數中的dpubfytzxt()會執行許多操作,其中之一就是將惡意有效載荷注入RegSvcs.exe進程。

圖4.負責執行進程注入的函數

惡意有效載荷分析

分析表明,被注入RegSvcs.exe進程的有效載荷是一個采用Microsoft Visual C#/Basic.Net編譯的32位PE文件。

圖5.PE文件信息

在進程注入完成之后,有效載荷便會開始查找主流的FTP客戶端,如FTPGetter、FTP Navigator、FlashXP以及SmartFTP等。

圖6.RegSvcs.exe憑證掃描

據稱,這個新的AgentTesla能夠從60多種軟件中竊取保存的憑證,具體如下:

網頁瀏覽器:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft IE & Edge
  • Apple Safari
  • Tencent QQBrowser
  • Opera Browser
  • Yandex Browser
  • 360 Browser
  • Iridium Browser
  • Comodo Dragon
  • CoolNovo
  • Chromium
  • Torch Browser
  • 7 Star Browser
  • Amigo Browser
  • Brave
  • CentBrowser
  • Chedot
  • Coccoc
  • Elements Browser
  • Epic Privacy
  • Kometa
  • Orbitum
  • Sputnik
  • Uran
  • Vivaldi
  • Citrio
  • Liebao Browser
  • Sleipnir 6
  • QIP Surf Browser
  • Coowon Browser
  • SeaMonkey
  • Flock Browser
  • UCBrowser
  • BlackHawk Browser
  • CyberFox Browser
  • KMeleon Browser
  • IceCat Browser
  • IceDragon Browser
  • PaleMoon Browser
  • WaterFox Browser
  • Falkon Browser

電子郵件客戶端和Messenger客戶端:

  • Microsoft Outlook
  • Mozilla Thunderbird
  • Aerofox Foxmail
  • Opera Mail
  • IncrediMail
  • Pocomail
  • Qualcomm Eudora
  • The Bat! Email
  • Postbox
  • Claws Mail
  • Becky! Internet Mail
  • Trillian Messenger
  • ICQ Transport

VPN、FTP客戶端和下載管理器:

  • OpenVPN
  • FileZilla
  • Ipswitch WS_FTP
  • WinSCP
  • CoreFTP
  • FTP Navigator
  • FlashFXP
  • SmartFTP
  • CFTP
  • FTPGetter
  • DownloadManager
  • Coowon jDownloader

最后,所有這些被盜憑證將通過基于SMTP協議的電子郵件發送到攻擊者的電子郵箱。

圖7.攻擊者的電子郵箱賬戶信息


圖8.通過SMTP協議提交憑證

AgentTesla新變種的其他功能

根據FortiGuard Labs的說法,除信息竊取功能外,這個新的AgentTesla變種還配備了許多其他的功能,包括:

  • 在受感染重新啟動時自動運行;
  • 阻斷受害者修改系統注冊表值的渠道(包括禁止受害者打開任務和管理器、禁止受害者打開命令提示符、禁止受害者運行Msconfig.exe以及從“開始”菜單中刪除“控制面板”和“運行”等);
  • 自我卸載;
  • 通過執行“Shutdown -r -t 5”定時重啟計算機;
  • 截屏并通過電子郵件發送到攻擊者的電子郵箱;
  • 按鍵記錄。

結語

事實上,無論是AgentTesla,還是其他惡意軟件,釣魚電子郵件通常都是首選的傳播媒介。我們想要再一次提醒,一定不要打開任何未知來源的郵件。即使郵件來自經常聯系的人,我們也建議你在打開附件之前,使用殺毒軟件對其進行完整的掃描。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6811001260066472452/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人
1

路過

雞蛋

剛表態過的朋友 (1 人)

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 广西快3大小专家预测 江苏快三单双计划软件 湖北十一选五开奖结果走势图111期 贵州11选5平台 江西11选5第一个杀号定胆 1分快3大小单双走势图 10元体验金百家乐 25选5开奖走势图 广东快乐10分网址 今天涨停的股票公式