美国黑客助手(间谍软件AgentTesla又现新变种)

麦势力

收藏 分享

美国黑客助手(间谍软件AgentTesla又现新变种)(1)

AgentTesla,一款采用.Net语言(C#、VB.Net等)编写的间谍软件、键盘记录程序和信息窃取木马,同时也是一款商业化的产品,可以通过其官方网站购买到。

自2014年首次出现以来,与AgentTesla相关联的网络间谍活动几乎就没有中断过,期间甚至还出现了各种各样的变种。就在几天前,FortiGuard Labs就再次捕获了一封旨在传播AgentTesla新变种的钓鱼电子邮件。

接下来,就让我们一起来看看AgentTesla的这个新变种是如何在受感染系统中传播、窃取了哪些数据以及如何将被盗数据上传到命令和控制(C2)服务器的吧。

感染链分析

如你所见,这个新的AgentTesla变种是一个可执行文件。在FortiGuard Labs 捕获的钓鱼电子邮件中,它被命名为“*** Delivery Report.exe”。

美国黑客助手(间谍软件AgentTesla又现新变种)(2)

图1.钓鱼电子邮件

分析表明,此文件是已编译的AutoIt可执行文件,可以使用Exe2Aut或myAut2Exe对其进行反编译。

美国黑客助手(间谍软件AgentTesla又现新变种)(3)

图2.使用Exe2Aut反编译的可执行文件

AutoIt代码共包含18个函数,但实际上只有四个会真正执行,具体细节如下:

美国黑客助手(间谍软件AgentTesla又现新变种)(4)

图3.实际执行的四个函数

四个函数中的dpubfytzxt()会执行许多操作,其中之一就是将恶意有效载荷注入RegSvcs.exe进程。

美国黑客助手(间谍软件AgentTesla又现新变种)(5)

图4.负责执行进程注入的函数

恶意有效载荷分析

分析表明,被注入RegSvcs.exe进程的有效载荷是一个采用Microsoft Visual C#/Basic.Net编译的32位PE文件。

美国黑客助手(间谍软件AgentTesla又现新变种)(6)

图5.PE文件信息

在进程注入完成之后,有效载荷便会开始查找主流的FTP客户端,如FTPGetter、FTP Navigator、FlashXP以及SmartFTP等。

美国黑客助手(间谍软件AgentTesla又现新变种)(7)

图6.RegSvcs.exe凭证扫描

据称,这个新的AgentTesla能够从60多种软件中窃取保存的凭证,具体如下:

网页浏览器:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft IE & Edge
  • Apple Safari
  • Tencent QQBrowser
  • Opera Browser
  • Yandex Browser
  • 360 Browser
  • Iridium Browser
  • Comodo Dragon
  • CoolNovo
  • Chromium
  • Torch Browser
  • 7 Star Browser
  • Amigo Browser
  • Brave
  • CentBrowser
  • Chedot
  • Coccoc
  • Elements Browser
  • Epic Privacy
  • Kometa
  • Orbitum
  • Sputnik
  • Uran
  • Vivaldi
  • Citrio
  • Liebao Browser
  • Sleipnir 6
  • QIP Surf Browser
  • Coowon Browser
  • SeaMonkey
  • Flock Browser
  • UCBrowser
  • BlackHawk Browser
  • CyberFox Browser
  • KMeleon Browser
  • IceCat Browser
  • IceDragon Browser
  • PaleMoon Browser
  • WaterFox Browser
  • Falkon Browser

电子邮件客户端和Messenger客户端:

  • Microsoft Outlook
  • Mozilla Thunderbird
  • Aerofox Foxmail
  • Opera Mail
  • IncrediMail
  • Pocomail
  • Qualcomm Eudora
  • The Bat! Email
  • Postbox
  • Claws Mail
  • Becky! Internet Mail
  • Trillian Messenger
  • ICQ Transport

VPN、FTP客户端和下载管理器:

  • OpenVPN
  • FileZilla
  • Ipswitch WS_FTP
  • WinSCP
  • CoreFTP
  • FTP Navigator
  • FlashFXP
  • SmartFTP
  • CFTP
  • FTPGetter
  • DownloadManager
  • Coowon jDownloader

最后,所有这些被盗凭证将通过基于SMTP协议的电子邮件发送到攻击者的电子邮箱。

美国黑客助手(间谍软件AgentTesla又现新变种)(8)

图7.攻击者的电子邮箱账户信息

美国黑客助手(间谍软件AgentTesla又现新变种)(9)

图8.通过SMTP协议提交凭证

AgentTesla新变种的其他功能

根据FortiGuard Labs的说法,除信息窃取功能外,这个新的AgentTesla变种还配备了许多其他的功能,包括:

  • 在受感染重新启动时自动运行;
  • 阻断受害者修改系统注册表值的渠道(包括禁止受害者打开任务和管理器、禁止受害者打开命令提示符、禁止受害者运行Msconfig.exe以及从“开始”菜单中删除“控制面板”和“运行”等);
  • 自我卸载;
  • 通过执行“Shutdown -r -t 5”定时重启计算机;
  • 截屏并通过电子邮件发送到攻击者的电子邮箱;
  • 按键记录。
结语

事实上,无论是AgentTesla,还是其他恶意软件,钓鱼电子邮件通常都是首选的传播媒介。我们想要再一次提醒,一定不要打开任何未知来源的邮件。即使邮件来自经常联系的人,我们也建议你在打开附件之前,使用杀毒软件对其进行完整的扫描。

,
展开全文

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

猜您喜欢

    热门推荐

    Copyright © 2013-2024 秒懂生活 站务投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页