第131期安全事件
| 英文标题 | Experts spotted a campaign spreading a new Agent Tesla Spyware variant |
| 中文标题 | 间谍软件 Agent Tesla 变种再现:通过特制 Word 文档诱导安装 |
| 作者及单位 | Pierluigi Paganini |
| 内容概述 |
近期,专家发现臭名昭著的间谍软件 Agent Tesla 出现了全新的变种,而变种传播是通过特制的 Microsoft Word 文件进行的。 Agent Tesla 是一种用来收集系统键击记录、剪贴板内容、屏幕截图、身份凭证的间谍软件,很多用户使用这款软件窥探受害者。 为了实现这些功能,这款间谍软件在主函数中创建了不同的线程和定时函数。 在最新发现的行动中,黑客将附件文档的内容制作成模糊的样子,这样用户会遵循文档上的说明,双击文档来得到更清晰的 视图。而如果用户照做了,这个文档就会提取可执行文件“POM.exe”,在本地系统的临时文件中运行。 目前看来,新变种 C & C 服务器提交数据的方式已经改变。研究员表示,过去的攻击行动中使用的都是 HTTP POST 来发送 收集的数据。但在观测到的最新变体中,它会使用 SMTPS 将收集到的数据发送到攻击者的邮箱。 |
| 新闻链接 |
https://securityaffairs.co/wordpress/71154/breaking-news/agent-tesla-campaign.html |