安全研究人员周二发现特工特斯拉远程访问特洛伊木马(RAT)采用了新的传送和规避技术,以绕过防御壁垒并监视其受害者。
Windows间谍软件通常通过社会工程学诱饵进行传播,现在不仅针对Microsoft的反恶意软件扫描接口(AMSI)来试图击败端点保护软件,而且还采用了多阶段安装过程并利用Tor和Telegram消息传递API进行通信与命令和控制(C2)服务器一起使用。
网络安全公司Sophos观察了目前特工的两种特斯拉版本(版本2和版本3),该变化表示特斯拉特工不断发展的又一个迹象,旨在使沙盒和静态分析更加困难。
Sophos研究人员指出:“我们在Agent Tesla v2和v3之间看到的差异似乎集中在提高针对沙盒防御和恶意软件扫描程序的恶意软件成功率,以及为攻击者客户提供更多C2选项” 。
国际知名白帽黑客、东方联盟创始人郭盛华透露:“自2014年底以来,特工特斯拉(Agent Tesla)便是基于.NET的键盘记录程序和信息窃取程序,已被部署于多种攻击中,随着时间的推移,它还纳入了其他功能,以使其能够监视和收集受害者的键盘输入,截屏并窃取属于各种软件,例如VPN客户端,FTP和电子邮件客户端以及网络浏览器。”
去年五月,在大流行高峰期间,发现该恶意软件的一种变体通过以COVID为主题的垃圾邮件活动传播,窃取了目标系统中的Wi-Fi密码以及其他信息(例如Outlook电子邮件凭据)。
然后在2020年8月,第二版Agent Malware将针对凭据盗窃的应用程序数量增加到55个,然后将其结果通过SMTP或FTP传输到攻击者控制的服务器。
虽然早在2018年就发现使用SMTP将信息发送到攻击者控制的邮件服务器的过程中,但Sophos确定的一种新版本也被发现利用Tor代理进行HTTP通信和消息传递应用Telegram的API来中继信息到私人聊天室。
除此之外,特斯拉特工的多阶段恶意软件安装过程已进行了重大升级,第一阶段恶意软件下载程序现在试图修改AMSI中的代码,以跳过对从Pastebin(或Hastebin)获取的第二阶段恶意有效载荷的扫描。 。
此临时有效载荷是经过混淆的base64编码的代码块,随后被解码以检索用于注入Agent Tesla恶意软件的加载程序。
AMSI是一种接口标准,允许应用程序和服务与Windows计算机上存在的任何现有反恶意软件产品集成。
此外,为了实现持久性,该恶意软件将自身复制到一个文件夹中,并将该文件夹的属性设置为“隐藏”和“系统”,以便在Windows资源管理器中将其隐藏起来。
Sophos威胁研究人员Sean Gallagher和Markel Picado说:“特斯拉特工最广泛的发送方法是恶意垃圾邮件。”
“用于传播特斯拉特工的电子邮件帐户通常是遭到破坏的合法账户。组织和个人应像往常一样谨慎对待来自未知发件人的电子邮件附件,并在打开附件之前对其进行验证。” (欢迎转载分享)