新型恶意软件加载程序通过钓鱼邮件传播Agent Tesla远程访问木马
根据Trustwave SpiderLabs研究人员的报告,一种新型恶意软件加载程序正在传播Agent Tesla远程访问木马(RAT)。该恶意软件通过带有恶意附件的钓鱼邮件进行分发。
"威胁始于一封旨在欺骗收件人的虚假银行付款邮件,"研究人员写道。"这封邮件中隐藏着一个名为'Bank Handlowy w Warszawie - dowód wpłaty_pdf.tar.gz'的附件,伪装成来自银行的合法付款凭证。"
"这个文件名暗示是一个无害文档,但实际上在tar.gz压缩包中包含了一个伪装的恶意加载程序。这种策略通常用于钓鱼攻击,诱使收件人在不知情的情况下激活恶意软件并开始恶意活动。"
如果用户落入钓鱼攻击的陷阱,恶意软件将被下载并安装。
"感染链始于一封伪装成银行付款通知的钓鱼邮件,其中附带了一个伪装成压缩文件的加载程序,"研究人员写道。
"该加载程序随后使用混淆技术来规避检测,并利用复杂的解密方法展现出多态行为。该加载程序还表现出绕过防病毒防御的能力,并通过使用特定URL、用户代理和代理服务器来检索其有效载荷,进一步混淆流量。有效载荷本身,即Agent Tesla信息窃取程序,随后完全在内存中执行,通过SMTP使用受感染的电子邮件账户捕获并窃取数据,以实现隐蔽通信。"
使用受感染的电子邮件账户来窃取被盗数据有助于恶意软件规避检测。
"威胁行为者经常劫持受感染的电子邮件账户来执行数据外泄过程,"研究人员解释道。"这种方法有几个战略优势。首先,它利用了人们对常规电子邮件通信的信任,使其不太可能引起怀疑。其次,它提供了匿名性,使追踪攻击来源更加困难。最后,使用现有的电子邮件系统意味着他们无需建立新的通信渠道,节省了时间和资源。"
KnowBe4赋能您的员工每天做出更明智的安全决策。全球超过65,000个组织信任KnowBe4平台,以加强其安全文化并降低人为风险。
Trustwave对此事件进行了报道。 aW2f3znESqugz2iqb3bUwRnpsDDw2nHkZR5wxksGuEjVFXHhe6uwbRWGtSqi+e4WNlH3Pt97gXOaEYzlzhHiLm66HKtCehFqCTeHVwqqf/w=
