安全研究人員週二發現特工特斯拉遠端訪問特洛伊木馬(RAT)採用了新的傳送和規避技術,以繞過防禦壁壘並監視其受害者。
Windows間諜軟體通常透過社會工程學誘餌進行傳播,現在不僅針對Microsoft的反惡意軟體掃描介面(AMSI)來試圖擊敗端點保護軟體,而且還採用了多階段安裝過程並利用Tor和Telegram訊息傳遞API進行通訊與命令和控制(C2)伺服器一起使用。
網路安全公司Sophos觀察了目前特工的兩種特斯拉版本(版本2和版本3),該變化表示特斯拉特工不斷髮展的又一個跡象,旨在使沙盒和靜態分析更加困難。
Sophos研究人員指出:“我們在Agent Tesla v2和v3之間看到的差異似乎集中在提高針對沙盒防禦和惡意軟體掃描程式的惡意軟體成功率,以及為攻擊者客戶提供更多C2選項” 。
國際知名白帽駭客、東方聯盟創始人郭盛華透露:“自2014年底以來,特工特斯拉(Agent Tesla)便是基於.NET的鍵盤記錄程式和資訊竊取程式,已被部署於多種攻擊中,隨著時間的推移,它還納入了其他功能,以使其能夠監視和收集受害者的鍵盤輸入,截圖並竊取屬於各種軟體,例如VPN客戶端,FTP和電子郵件客戶端以及網路瀏覽器。”
去年五月,在大流行高峰期間,發現該惡意軟體的一種變體透過以COVID為主題的垃圾郵件活動傳播,竊取了目標系統中的Wi-Fi密碼以及其他資訊(例如Outlook電子郵件憑據)。
然後在2020年8月,第二版Agent Malware將針對憑據盜竊的應用程式數量增加到55個,然後將其結果透過SMTP或FTP傳輸到攻擊者控制的伺服器。
雖然早在2018年就發現使用SMTP將資訊傳送到攻擊者控制的郵件伺服器的過程中,但Sophos確定的一種新版本也被發現利用Tor代理進行HTTP通訊和訊息傳遞應用Telegram的API來中繼資訊到私人聊天室。
除此之外,特斯拉特工的多階段惡意軟體安裝過程已進行了重大升級,第一階段惡意軟體下載程式現在試圖修改AMSI中的程式碼,以跳過對從Pastebin(或Hastebin)獲取的第二階段惡意有效載荷的掃描。 。
此臨時有效載荷是經過混淆的base64編碼的程式碼塊,隨後被解碼以檢索用於注入Agent Tesla惡意軟體的載入程式。
AMSI是一種介面標準,允許應用程式和服務與Windows計算機上存在的任何現有反惡意軟體產品整合。
此外,為了實現永續性,該惡意軟體將自身複製到一個資料夾中,並將該資料夾的屬性設定為“隱藏”和“系統”,以便在Windows資源管理器中將其隱藏起來。
Sophos威脅研究人員Sean Gallagher和Markel Picado說:“特斯拉特工最廣泛的傳送方法是惡意垃圾郵件。”