去年下半全球第3大恶意程序Agent Tesla,Sophos于2月2日公布,他们近日发现2个新的变种,并命名为Agent Tesla v2与Agent Tesla v3,不仅能够窃取更多应用程序的账号和密码,还使用独特的渠道与C&C中继站通信,而且,攻击者也借由篡改Windows操作系统内置的恶意软件扫描接口(AMSI),来躲避计算机杀毒软件的侦测。
对于此次披露的2个变种版本,该公司宣称这2个恶意软件的攻击能力大致相同,差别在于与中继站通信的方式,两者都能支持HTTP、SMTP、FTP协议访问,但第3版还能借着即时通信软件Telegram的API,向中继站外泄窃得的资料。Sophos指出,通过Telegram传输,代表了黑客不再需要通过电子邮件信箱来接收资料,而更能隐藏自己的身份。
Agent Tesla V3(上)和V2(下)两种版本与C&C中继站通信的方式,最主要的差异在于支持以Telegram的API通信的有无,其余特性可说是大致雷同。
恶意软件家族Agent Tesla自2014年出现,攻击者将其运用来窃取计算机上的机密,该恶意软件家族以屏幕截屏、键盘监听、滥用剪贴板等方式来发动攻击,主要是通过电子邮件附件挟带为感染途径。再者,Agent Tesla是以服务形态提供的恶意软件(Malware-as-a-Service),这意味者攻击者只要付费就能取得作案工具。
Sophos指出,他们在最近10个月内观察到Agent Tesla变种攻击显著增加,在2020年12月,该公司用户收到的恶意电子邮件,有超过五分之一附件带有Agent Tesla。
Sophos披露Agent Tesla V2与V3潜入手法,其中包含操弄Windows内置的防恶意程序扫描接口(AMSI)、从文件共享服务Pastebin或Hastebin取得工具,再进行一连串解密过程才执行加载器并创建多个子处理程序,最终才注入Agent Tesla V2或V3恶意软件。