AgentTesla,一款採用.Net語言(C#、VB.Net等)編寫的間諜軟件、鍵盤記錄程序和信息竊取木馬,同時也是一款商業化的產品,可以通過其官方網站購買到。
自2014年首次出現以來,與AgentTesla相關聯的網絡間諜活動幾乎就沒有中斷過,期間甚至還出現了各種各樣的變種。就在幾天前,FortiGuard Labs就再次捕獲了一封旨在傳播AgentTesla新變種的釣魚電子郵件。
接下來,就讓我們一起來看看AgentTesla的這個新變種是如何在受感染系統中傳播、竊取了哪些數據以及如何將被盜數據上傳到命令和控制(C2)服務器的吧。
感染鏈分析
如你所見,這個新的AgentTesla變種是一個可執行文件。在FortiGuard Labs 捕獲的釣魚電子郵件中,它被命名為“*** Delivery Report.exe”。
分析表明,此文件是已編譯的AutoIt可執行文件,可以使用Exe2Aut或myAut2Exe對其進行反編譯。
AutoIt代碼共包含18個函數,但實際上只有四個會真正執行,具體細節如下:
四個函數中的dpubfytzxt()會執行許多操作,其中之一就是將惡意有效載荷注入RegSvcs.exe進程。
惡意有效載荷分析
分析表明,被注入RegSvcs.exe進程的有效載荷是一個採用Microsoft Visual C#/Basic.Net編譯的32位PE文件。
在進程注入完成之後,有效載荷便會開始查找主流的FTP客戶端,如FTPGetter、FTP Navigator、FlashXP以及SmartFTP等。
據稱,這個新的AgentTesla能夠從60多種軟件中竊取保存的憑證,具體如下:
網頁瀏覽器:
- Google Chrome
- Mozilla Firefox
- Microsoft IE & Edge
- Apple Safari
- Tencent QQBrowser
- Opera Browser
- Yandex Browser
- 360 Browser
- Iridium Browser
- Comodo Dragon
- CoolNovo
- Chromium
- Torch Browser
- 7 Star Browser
- Amigo Browser
- Brave
- CentBrowser
- Chedot
- Coccoc
- Elements Browser
- Epic Privacy
- Kometa
- Orbitum
- Sputnik
- Uran
- Vivaldi
- Citrio
- Liebao Browser
- Sleipnir 6
- QIP Surf Browser
- Coowon Browser
- SeaMonkey
- Flock Browser
- UCBrowser
- BlackHawk Browser
- CyberFox Browser
- KMeleon Browser
- IceCat Browser
- IceDragon Browser
- PaleMoon Browser
- WaterFox Browser
- Falkon Browser
電子郵件客戶端和Messenger客戶端:
- Microsoft Outlook
- Mozilla Thunderbird
- Aerofox Foxmail
- Opera Mail
- IncrediMail
- Pocomail
- Qualcomm Eudora
- The Bat! Email
- Postbox
- Claws Mail
- Becky! Internet Mail
- Trillian Messenger
- ICQ Transport
VPN、FTP客戶端和下載管理器:
- OpenVPN
- FileZilla
- Ipswitch WS_FTP
- WinSCP
- CoreFTP
- FTP Navigator
- FlashFXP
- SmartFTP
- CFTP
- FTPGetter
- DownloadManager
- Coowon jDownloader
最後,所有這些被盜憑證將通過基於SMTP協議的電子郵件發送到攻擊者的電子郵箱。
AgentTesla新變種的其他功能
根據FortiGuard Labs的說法,除信息竊取功能外,這個新的AgentTesla變種還配備了許多其他的功能,包括:
- 在受感染重新啟動時自動運行;
- 阻斷受害者修改系統註冊表值的渠道(包括禁止受害者打開任務和管理器、禁止受害者打開命令提示符、禁止受害者運行Msconfig.exe以及從“開始”菜單中刪除“控制面板”和“運行”等);
- 自我卸載;
- 通過執行“Shutdown -r -t 5”定時重啟計算機;
- 截屏並通過電子郵件發送到攻擊者的電子郵箱;
- 按鍵記錄。
結語
事實上,無論是AgentTesla,還是其他惡意軟件,釣魚電子郵件通常都是首選的傳播媒介。我們想要再一次提醒,一定不要打開任何未知來源的郵件。即使郵件來自經常聯繫的人,我們也建議你在打開附件之前,使用殺毒軟件對其進行完整的掃描。
閱讀更多 黑客視界 的文章