新型恶意软件加载器通过钓鱼邮件传播Agent Tesla远控木马

根据Trustwave SpiderLabs研究人员的研究，一种新的恶意软件加载器正在传播Agent Tesla远程访问木马（RAT）。该恶意软件通过带有恶意附件的钓鱼邮件进行分发。

“威胁始于一封旨在欺骗收件人的虚假银行付款邮件，”研究人员写道。“这封邮件中隐藏着一个名为‘Bank Handlowy w Warszawie - dowód wpłaty_pdf.tar.gz’的附件，伪装成来自银行的合法付款凭证。

“这个文件名暗示它是一个无害的文件，但实际上它包含一个隐藏在tar.gz压缩包中的恶意加载器。这种策略在钓鱼攻击中常用，目的是诱骗收件人在不知情的情况下激活恶意软件并开始恶意活动。”

如果用户落入钓鱼攻击的圈套，恶意软件将被下载并安装。

“感染链始于一封伪装成银行付款通知的钓鱼邮件，其中附有一个伪装成压缩文件的加载器，”研究人员写道。

“该加载器随后使用混淆技术来逃避检测，并利用复杂的解密方法实现多态行为。该加载器还表现出绕过防病毒防御的能力，并使用特定的URL和用户代理（利用代理进行进一步的流量混淆）来获取其有效载荷。有效载荷本身，即Agent Tesla信息窃取木马，随后完全在内存中执行，通过SMTP捕获并外泄数据，并使用被入侵的电子邮件账户进行隐蔽通信。”

使用被入侵的电子邮件账户来外泄窃取的数据有助于恶意软件避免检测。

“威胁行为者经常劫持被入侵的电子邮件账户来执行数据外泄过程，”研究人员解释道。“这种方法有几个战略优势。首先，它利用了人们对常规电子邮件通信的信任，使其不太可能引起怀疑。其次，它提供了匿名性，使得将攻击追溯到威胁行为者变得更加困难。最后，使用现有的电子邮件系统意味着他们不必建立新的通信渠道，从而节省时间和资源。”

KnowBe4助力您的员工每天做出更明智的安全决策。全球超过65，000个组织信任KnowBe4平台来加强其安全文化并降低人为风险。

Trustwave对此进行了报道。