美国黑客助手（间谍软件AgentTesla又现新变种）

AgentTesla，一款采用.Net语言（C＃、VB.Net等）编写的间谍软件、键盘记录程序和信息窃取木马，同时也是一款商业化的产品，可以通过其官方网站购买到。

自2014年首次出现以来，与AgentTesla相关联的网络间谍活动几乎就没有中断过，期间甚至还出现了各种各样的变种。就在几天前，FortiGuard Labs就再次捕获了一封旨在传播AgentTesla新变种的钓鱼电子邮件。

接下来，就让我们一起来看看AgentTesla的这个新变种是如何在受感染系统中传播、窃取了哪些数据以及如何将被盗数据上传到命令和控制（C2）服务器的吧。

感染链分析

如你所见，这个新的AgentTesla变种是一个可执行文件。在FortiGuard Labs 捕获的钓鱼电子邮件中，它被命名为“*** Delivery Report.exe”。

图1.钓鱼电子邮件

分析表明，此文件是已编译的AutoIt可执行文件，可以使用Exe2Aut或myAut2Exe对其进行反编译。

图2.使用Exe2Aut反编译的可执行文件

AutoIt代码共包含18个函数，但实际上只有四个会真正执行，具体细节如下：

图3.实际执行的四个函数

四个函数中的dpubfytzxt()会执行许多操作，其中之一就是将恶意有效载荷注入RegSvcs.exe进程。

图4.负责执行进程注入的函数

恶意有效载荷分析

分析表明，被注入RegSvcs.exe进程的有效载荷是一个采用Microsoft Visual C#/Basic.Net编译的32位PE文件。

图5.PE文件信息

在进程注入完成之后，有效载荷便会开始查找主流的FTP客户端，如FTPGetter、FTP Navigator、FlashXP以及SmartFTP等。

图6.RegSvcs.exe凭证扫描

据称，这个新的AgentTesla能够从60多种软件中窃取保存的凭证，具体如下：

网页浏览器：

• Google Chrome
• Mozilla Firefox
• Microsoft IE & Edge
• Apple Safari
• Tencent QQBrowser
• Opera Browser
• Yandex Browser
• 360 Browser
• Iridium Browser
• Comodo Dragon
• CoolNovo
• Chromium
• Torch Browser
• 7 Star Browser
• Amigo Browser
• Brave
• CentBrowser
• Chedot
• Coccoc
• Elements Browser
• Epic Privacy
• Kometa
• Orbitum
• Sputnik
• Uran
• Vivaldi
• Citrio
• Liebao Browser
• Sleipnir 6
• QIP Surf Browser
• Coowon Browser
• SeaMonkey
• Flock Browser
• UCBrowser
• BlackHawk Browser
• CyberFox Browser
• KMeleon Browser
• IceCat Browser
• IceDragon Browser
• PaleMoon Browser
• WaterFox Browser
• Falkon Browser

电子邮件客户端和Messenger客户端：

• Microsoft Outlook
• Mozilla Thunderbird
• Aerofox Foxmail
• Opera Mail
• IncrediMail
• Pocomail
• Qualcomm Eudora
• The Bat! Email
• Postbox
• Claws Mail
• Becky! Internet Mail
• Trillian Messenger
• ICQ Transport

VPN、FTP客户端和下载管理器：

• OpenVPN
• FileZilla
• Ipswitch WS_FTP
• WinSCP
• CoreFTP
• FTP Navigator
• FlashFXP
• SmartFTP
• CFTP
• FTPGetter
• DownloadManager
• Coowon jDownloader

最后，所有这些被盗凭证将通过基于SMTP协议的电子邮件发送到攻击者的电子邮箱。

图7.攻击者的电子邮箱账户信息

图8.通过SMTP协议提交凭证

AgentTesla新变种的其他功能

根据FortiGuard Labs的说法，除信息窃取功能外，这个新的AgentTesla变种还配备了许多其他的功能，包括：

• 在受感染重新启动时自动运行；
• 阻断受害者修改系统注册表值的渠道（包括禁止受害者打开任务和管理器、禁止受害者打开命令提示符、禁止受害者运行Msconfig.exe以及从“开始”菜单中删除“控制面板”和“运行”等）；
• 自我卸载；
• 通过执行“Shutdown -r -t 5”定时重启计算机；
• 截屏并通过电子邮件发送到攻击者的电子邮箱；
• 按键记录。

结语

事实上，无论是AgentTesla，还是其他恶意软件，钓鱼电子邮件通常都是首选的传播媒介。我们想要再一次提醒，一定不要打开任何未知来源的邮件。即使邮件来自经常联系的人，我们也建议你在打开附件之前，使用杀毒软件对其进行完整的扫描。

,