安基网 首页 资讯 安全报 查看内容

间谍软件AgentTesla又现新变种,正通过钓鱼电子邮件传播

2020-4-7 12:33| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: AgentTesla,一款采用.Net语言(C#、VB.Net等)编写的间谍软件、键盘记录程序和信息窃取木马,同时也是一款商业化的产品,可以通过其官方网站购买到。自2014年首次出现以来,与AgentTesla相关联的网络间谍活动几乎就没有中断过,期间甚至还出现了各种各样的变种。就在几天前,FortiGuard Labs就再次捕 ...

AgentTesla,一款采用.Net语言(C#、VB.Net等)编写的间谍软件、键盘记录程序和信息窃取木马,同时也是一款商业化的产品,可以通过其官方网站购买到。

自2014年首次出现以来,与AgentTesla相关联的网络间谍活动几乎就没有中断过,期间甚至还出现了各种各样的变种。就在几天前,FortiGuard Labs就再次捕获了一封旨在传播AgentTesla新变种的钓鱼电子邮件。

接下来,就让我们一起来看看AgentTesla的这个新变种是如何在受感染系统中传播、窃取了哪些数据以及如何将被盗数据上传到命令和控制(C2)服务器的吧。

感染链分析

如你所见,这个新的AgentTesla变种是一个可执行文件。在FortiGuard Labs 捕获的钓鱼电子邮件中,它被命名为“*** Delivery Report。exe”。

图1.钓鱼电子邮件

分析表明,此文件是已编译的AutoIt可执行文件,可以使用Exe2Aut或myAut2Exe对其进行反编译。

图2。使用Exe2Aut反编译的可执行文件

AutoIt代码共包含18个函数,但实际上只有四个会真正执行,具体细节如下:

图3.实际执行的四个函数

四个函数中的dpubfytzxt()会执行许多操作,其中之一就是将恶意有效载荷注入RegSvcs.exe进程。

图4.负责执行进程注入的函数

恶意有效载荷分析

分析表明,被注入RegSvcs.exe进程的有效载荷是一个采用Microsoft Visual C#/Basic.Net编译的32位PE文件。

图5。PE文件信息

在进程注入完成之后,有效载荷便会开始查找主流的FTP客户端,如FTPGetter、FTP Navigator、FlashXP以及SmartFTP等。

图6。RegSvcs。exe凭证扫描

据称,这个新的AgentTesla能够从60多种软件中窃取保存的凭证,具体如下:

网页浏览器:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft IE & Edge
  • Apple Safari
  • Tencent QQBrowser
  • Opera Browser
  • Yandex Browser
  • 360 Browser
  • Iridium Browser
  • Comodo Dragon
  • CoolNovo
  • Chromium
  • Torch Browser
  • 7 Star Browser
  • Amigo Browser
  • Brave
  • CentBrowser
  • Chedot
  • Coccoc
  • Elements Browser
  • Epic Privacy
  • Kometa
  • Orbitum
  • Sputnik
  • Uran
  • Vivaldi
  • Citrio
  • Liebao Browser
  • Sleipnir 6
  • QIP Surf Browser
  • Coowon Browser
  • SeaMonkey
  • Flock Browser
  • UCBrowser
  • BlackHawk Browser
  • CyberFox Browser
  • KMeleon Browser
  • IceCat Browser
  • IceDragon Browser
  • PaleMoon Browser
  • WaterFox Browser
  • Falkon Browser

电子邮件客户端和Messenger客户端:

  • Microsoft Outlook
  • Mozilla Thunderbird
  • Aerofox Foxmail
  • Opera Mail
  • IncrediMail
  • Pocomail
  • Qualcomm Eudora
  • The Bat! Email
  • Postbox
  • Claws Mail
  • Becky! Internet Mail
  • Trillian Messenger
  • ICQ Transport

VPN、FTP客户端和下载管理器:

  • OpenVPN
  • FileZilla
  • Ipswitch WS_FTP
  • WinSCP
  • CoreFTP
  • FTP Navigator
  • FlashFXP
  • SmartFTP
  • CFTP
  • FTPGetter
  • DownloadManager
  • Coowon jDownloader

最后,所有这些被盗凭证将通过基于SMTP协议的电子邮件发送到攻击者的电子邮箱。

图7。攻击者的电子邮箱账户信息


图8.通过SMTP协议提交凭证

AgentTesla新变种的其他功能

根据FortiGuard Labs的说法,除信息窃取功能外,这个新的AgentTesla变种还配备了许多其他的功能,包括:

  • 在受感染重新启动时自动运行;
  • 阻断受害者修改系统注册表值的渠道(包括禁止受害者打开任务和管理器、禁止受害者打开命令提示符、禁止受害者运行Msconfig.exe以及从“开始”菜单中删除“控制面板”和“运行”等);
  • 自我卸载;
  • 通过执行“Shutdown -r -t 5”定时重启计算机;
  • 截屏并通过电子邮件发送到攻击者的电子邮箱;
  • 按键记录。

结语

事实上,无论是AgentTesla,还是其他恶意软件,钓鱼电子邮件通常都是首选的传播媒介。我们想要再一次提醒,一定不要打开任何未知来源的邮件。即使邮件来自经常联系的人,我们也建议你在打开附件之前,使用杀毒软件对其进行完整的扫描。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6811001260066472452/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

刚表态过的朋友 (1 人)

相关阅读

最新评论

 最新
返回顶部
极速赛车冠军公式 江苏11选5平台 山东11选5 皇冠彩票计划群 平安彩票网站 博乐彩票 上海11选5走势 盛源彩票计划群 百胜彩票计划群 赢天下彩票计划群