注意！間諜軟件AgentTesla新變種正通過釣魚電子郵件傳播科技頭條網

2020-04-07 11:34:05 黑客視界

AgentTesla，一款採用.Net語言（C＃、VB.Net等）編寫的間諜軟件、鍵盤記錄程序和信息竊取木馬，同時也是一款商業化的產品，可以通過其官方網站購買到。

自2014年首次出現以來，與AgentTesla相關聯的網絡間諜活動幾乎就沒有中斷過，期間甚至還出現了各種各樣的變種。就在幾天前，FortiGuard Labs就再次捕獲了一封旨在傳播AgentTesla新變種的釣魚電子郵件。

接下來，就讓我們一起來看看AgentTesla的這個新變種是如何在受感染系統中傳播、竊取了哪些數據以及如何將被盜數據上傳到命令和控制（C2）服務器的吧。

感染鏈分析

如你所見，這個新的AgentTesla變種是一個可執行文件。在FortiGuard Labs 捕獲的釣魚電子郵件中，它被命名為“*** Delivery Report.exe”。

圖1.釣魚電子郵件

分析表明，此文件是已編譯的AutoIt可執行文件，可以使用Exe2Aut或myAut2Exe對其進行反編譯。

圖2.使用Exe2Aut反編譯的可執行文件

AutoIt代碼共包含18個函數，但實際上只有四個會真正執行，具體細節如下：

圖3.實際執行的四個函數

四個函數中的dpubfytzxt()會執行許多操作，其中之一就是將惡意有效載荷注入RegSvcs.exe進程。

圖4.負責執行進程注入的函數

分析表明，被注入RegSvcs.exe進程的有效載荷是一個採用Microsoft Visual C#/Basic.Net編譯的32位PE文件。

圖5.PE文件信息

在進程注入完成之後，有效載荷便會開始查找主流的FTP客戶端，如FTPGetter、FTP Navigator、FlashXP以及SmartFTP等。

圖6.RegSvcs.exe憑證掃描

據稱，這個新的AgentTesla能夠從60多種軟件中竊取保存的憑證，具體如下：

網頁瀏覽器：

電子郵件客戶端和Messenger客戶端：

VPN、FTP客戶端和下載管理器：

最後，所有這些被盜憑證將通過基於SMTP協議的電子郵件發送到攻擊者的電子郵箱。

圖7.攻擊者的電子郵箱賬戶信息

圖8.通過SMTP協議提交憑證

根據FortiGuard Labs的說法，除信息竊取功能外，這個新的AgentTesla變種還配備了許多其他的功能，包括：

在受感染重新啟動時自動運行；
阻斷受害者修改系統註冊表值的渠道（包括禁止受害者打開任務和管理器、禁止受害者打開命令提示符、禁止受害者運行Msconfig.exe以及從“開始”菜單中刪除“控制面板”和“運行”等）；
自我卸載；
通過執行“Shutdown -r -t 5”定時重啟計算機；
截屏並通過電子郵件發送到攻擊者的電子郵箱；
按鍵記錄。