键盘记录器变身!揭秘间谍软件中的“战斗机”Agent Tesla

0
639

Agent Tesla原本是个keylogger,现如今却正式变身成为了一款彻头彻尾的间谍软件——来自Zscaler的研究人员特别为此撰写了一份报告。

Agent Tesla的主要攻击形式是钓鱼邮件,邮件中藏有恶意Office文件。用户打开文件后,会有提示询问是否运行宏。一旦得到了用户的许可,Office文档就会自动下载安装Agent Tesla。

这些垃圾邮件的来源其实也很有意思,乍看很像是来自Diode Technology公司的邮件——Diode Technology是家咨询公司。那些携有恶意Office文档的垃圾邮件,就是在后缀部分模仿Diode Technology的域名。Diode及其客户可能都是这次鱼叉式钓鱼攻击的受害者。

过去两年被多次出售

基于已知的YouTube视频资料,从2014年起至今,Agent Tesla已经存在了至少两年。如文章开头所说,最初这个恶意软件只是个简单的键盘记录器,记录用户的每一次按键,再回传至黑客的服务器。

随着时间的推移,恶意程序开发团队逐渐为之添加了更多的功能。现在的Agent Tesla已经不仅仅只是一个keylogger了,更准确的说,它就是个间谍软件。

compromise.png

最新版Agent Tesla特色在于模块化结构,买家在购买这款间谍软件的时候,可以选择部署的模块,也算是做到了按需购买。而且Agent Tesla当前就在互联网上出售,很容易买得到。

致命的特性

Agent Tesla自带以下的一些功能:桌面截图、记录键盘或虚拟键盘的敲击、窃取剪贴板数据、通过摄像头偷拍照片,还具备自我复制至USB设备的能力,以此达到扩散的目的。

此外,Agent Tesla还可以从Chrome、 Opera、Yandex、Firefox、IE、SeaMonkey、Comodo、Chromium、DynDNS、Filezilla、FlashFXP、Outlook、Netscape等应用转储密码。据Zscaler所说,Agent Tesla借鉴了IEPasswordDump和MailPassView两个合法软件的功能。

此间谍软件内部还特别包含了反分析工具,检测到用户在用安全软件的时候,就能自动终止Agent Tesla的运行,甚至还具备躲避虚拟机检测的能力。

必要时,Agent Tesla可以自我卸载,甚至禁用UAC、任务管理器、CMD、运行、控制面板、注册表、系统还原等核心Windows功能。

Zscaler表示已经向Diode反馈了这一情况,非法占用的域名当前已经下线。不过,依旧有部分黑客以每月9-30美元(约合人民币60-200元)的费用租用了Agent Tesla,预计其他黑客组织将来也会进行攻击部署。

下面这张从Agent Tesla网站摘取的图表,对其部分功能进行了介绍,比如说宣传Agent Tesla很稳定,支持所有Windows系统,还有安装过程很隐蔽等等,有没有感觉真的很好用?

agent-tesla-spyware-detected-in-live-attacks-507662-2.jpg

*参考来源:SOFTPEDIA ,FB小编孙毛毛编译,转载请注明来自FreeBuf(FreeBuf.COM)