第131期安全事件
| 英文標題 | Experts spotted a campaign spreading a new Agent Tesla Spyware variant |
| 中文標題 | 間諜軟件 Agent Tesla 變種再現:通過特制 Word 文檔誘導安裝 |
| 作者及單位 | Pierluigi Paganini |
| 內容概述 |
近期,專家發現臭名昭著的間諜軟件 Agent Tesla 出現了全新的變種,而變種傳播是通過特制的 Microsoft Word 文件進行的。 Agent Tesla 是一種用來收集系統鍵擊記錄、剪貼板內容、屏幕截圖、身份憑證的間諜軟件,很多用戶使用這款軟件窺探受害者。 為了實現這些功能,這款間諜軟件在主函數中創建了不同的線程和定時函數。 在最新發現的行動中,黑客將附件文檔的內容制作成模糊的樣子,這樣用戶會遵循文檔上的說明,雙擊文檔來得到更清晰的 視圖。而如果用戶照做了,這個文檔就會提取可執行文件“POM.exe”,在本地系統的臨時文件中運行。 目前看來,新變種 C & C 服務器提交數據的方式已經改變。研究員表示,過去的攻擊行動中使用的都是 HTTP POST 來發送 收集的數據。但在觀測到的最新變體中,它會使用 SMTPS 將收集到的數據發送到攻擊者的郵箱。 |
| 新聞鏈接 |
https://securityaffairs.co/wordpress/71154/breaking-news/agent-tesla-campaign.html |