FortiGuard发现网络钓鱼活动向Windows设备分发新的Agent Tesla变体。

新的Agent Tesla变种利用CVE-2017-11882/CVE-2018-0802漏洞来执行恶意软件。

FortiGuard实验室威胁研究人员检测到网络钓鱼活动中使用的臭名昭著的Agent Tesla恶意软件家族的新变种。报告作者张晓鹏透露，该恶意软件可以从受害者的设备中窃取“凭据、键盘记录数据和活动屏幕截图”。被盗数据通过电子邮件或SMTP协议传输给恶意软件操作者。该恶意软件主要感染Windows设备。

供您参考，Agent Tesla恶意软件也作为恶意软件即服务工具提供。恶意软件变体使用数据窃取程序和基于.NET的RAT（远程访问木马）进行初始访问。

这是一次网络钓鱼活动，因此初始访问是通过旨在诱骗用户下载恶意软件的网络钓鱼电子邮件获得的。该电子邮件是采购订单通知，要求收件人确认其来自工业设备供应商的订单。

该电子邮件包含一个名为Order 45232429.xls的恶意MS Excel附件。本文档采用OLE格式，包含精心设计的方程数据，该数据利用了跟踪为CVE-2017-11882/CVE-2018-0802的旧安全RCE漏洞，而不是使用VBS宏。

该漏洞会导致EQNEDT32.EXE进程中的内存损坏，并允许通过ProcessHollowing方法执行任意代码，其中黑客会用恶意代码替换可执行文件的代码。

shellcode通过此链接“hxxp://2395.128.195/3355/chromium.exe”将Agent Tesla文件(dasHost.exe)下载/执行到目标设备上。它是一个受IntelliLock和.NET Reactor保护的.NET程序。相关模块在资源部分进行了加密/编码，以防止其核心模块被检测和分析。

值得注意的是，微软于2017年11月和2018年1月发布了针对此漏洞的修复程序。然而，该漏洞仍然被威胁行为者利用，表明存在未修补的设备。根据FortiGuard研究，他们每天观察大约1300个易受攻击的设备，每天缓解IPS级别的3000次攻击。

根据FortiGuard Labs于2023年9月5日发布的报告，Agent Tesla变体从网络浏览器、电子邮件客户端、FTP客户端等窃取存储的凭据。这里有一长串目标软件和电子邮件客户端 。

恶意软件通过API SetWindowsHookEx()设置键盘挂钩来监视低级键盘输入，并在受害者在设备上键入内容时调用回调挂钩过程“this.EiqpViCm9()”。恶意软件定期窃取程序标题、时间和输入内容。计时器每20秒调用一个方法来检查log.tmp文件，并通过STMP将信息发送给攻击者。此外，该恶意软件还使用另一个间隔20分钟的计时器来检查设备活动并确定何时捕获屏幕截图。

即使设备重新启动或恶意软件进程被终止，Agent Tesla恶意软件也可以使用两种方法确保持久性。它要么在有效负载模块的TaskScheuler系统中执行创建任务的命令，要么在系统注册表中添加自动运行项。这些方法允许在系统重新启动时自动启动dasHost.exe的副本。

对任何要求您提供个人或财务信息的电子邮件保持警惕：网络钓鱼电子邮件通常会试图诱骗您放弃密码、信用卡号或其他敏感信息。切勿点击来自您不认识或不信任的发件人的电子邮件中的链接或打开附件。

使您的软件保持最新：软件更新通常包括安全补丁，可以帮助您免受恶意软件的侵害。确保在安全更新可用后立即安装它们。

使用功能强大的防病毒和反恶意软件程序：防病毒和反恶意软件程序可以帮助检测和删除计算机中的恶意软件。使您的防病毒和反恶意软件程序保持最新状态并定期扫描您的计算机。

请小心您点击的内容：网络钓鱼电子邮件通常包含指向恶意网站的链接。如果您点击电子邮件中的链接，请务必在访问网站之前仔细检查URL。

使用垃圾邮件过滤器：垃圾邮件过滤器可以帮助减少您收到的网络钓鱼电子邮件的数量。

对网络钓鱼进行自我教育：您对网络钓鱼了解得越多，就越能发现它。了解网络钓鱼诈骗以及如何保护自己。