間諜軟件 Agent Tesla 新變種通過瀏覽器和 VPN 竊取數據

專家們發現了 Agent Tesla Trojan 的新變種，其中包括從流行的網絡瀏覽器，VPN軟件以及FTP和電子郵件客戶端竊取憑據的模塊。

SentinelOne的研究人員發現了流行的 Agent Tesla Trojan 的新變種，其中包括新的模塊，可以從流行的Web瀏覽器，VPN軟件以及FTP和電子郵件客戶端等應用程序中竊取憑據。

Agent Tesla 是一種間諜軟件，用于通過收集受感染系統的擊鍵，系統剪貼板，屏幕截圖和憑據來監視受害者。為此，間諜軟件在main函數中創建不同的線程和計時器函數。

專家于2018年6月首次發現了該惡意軟件，但自2014年以來一直可用，當時他們觀察到威脅行為者通過包含可自動執行的惡意VBA Macro的Microsoft Word文檔傳播了該惡意軟件。

用戶啟用 Macro 后，間諜軟件將安裝在受害者的計算機上

Agent Tesla 經常參與商業電子郵件泄露（BEC）攻擊，并從受害者的系統中竊取數據并收集其系統上的信息。

該惡意軟件的最新樣本包括用于從幾個應用程序收集應用程序配置數據和憑據的特定代碼。

“目前，Agent Tesla 繼續用于攻擊的各個階段。它持久地管理和操縱受害者設備的能力對低級犯罪分子仍然具有吸引力。” 讀取SentinelOne發布的分析報告。“Agent Tesla 現在能夠從許多常見的VPN客戶端，FTP和電子郵件客戶端以及Web瀏覽器中收集配置數據和憑據。該惡意軟件能夠從注冊表以及相關的配置或支持文件中提取憑證。”

新的變體能夠針對流行的應用程序，包括Google Chrome，Chromium，Safari，Brave，FileZilla，Mozilla Firefox，Mozilla Thunderbird，OpenVPN和Outlook。

然后，信息竊取木馬嘗試通過FTP或STMP將數據發送回命令和控制（C2）服務器，專家們注意到憑據在其內部配置中進行了硬編碼。

最近的變體通常會將輔助可執行文件放入其中，或者將嘗試注入目標主機上已經存在的已知二進制文件中。

專家報告說，該惡意軟件經常使用“ Process Hollowing ”注入技術，該技術允許創建或操縱未映射內存部分（空洞）的進程。然后使用所需的惡意代碼重新分配這些內存區域。

執行后，惡意軟件將收集本地系統信息，安裝鍵盤記錄器模塊，以及初始化用于發現和收集數據的例程。

最近的示例實現了發現無線網絡設置和憑據的功能，然后在生成netsh.exe實例之前短時間保持休眠模式：
Netsh.exe wlan show profile

它們通常通過注冊表項輸入或計劃任務來實現持久性。

Agent Tesla 公司已經存在了幾年，但我們仍然認為它是一種commodity，在許多低至輕度復雜的攻擊中被利用。攻擊者正在不斷進化，尋找新的方式成功使用像 Agent Tesla 這樣的工具，同時躲避檢測。歸根結底，如果目標是收獲和竊取數據，攻擊者就會順其自然；因此，我們仍然看到像 Agent Tesla 這樣的“commodity”工具，以及Pony，Loki和其他low-hanging fruit惡意軟件正在使用。