新的恶意软件加载器通过网络钓鱼传播 Agent Tesla 远程访问木马

据 Trustwave SpiderLabs 的研究人员称，一种新的恶意软件加载程序正在传播 Agent Tesla 远程访问木马 (RAT)。该恶意软件通过带有恶意附件的网络钓鱼电子邮件进行传播。

网络钓鱼

“威胁始于一封旨在欺骗收件人的虚假银行付款电子邮件，”研究人员写道。“这封电子邮件中隐藏着一个名为‘Bank Handlowy w Warszawie - dowód wpłaty_pdf.tar.gz’的附件，伪装成银行的合法付款收据。

“这个文件名暗示这是一个无害的文档，但它实际上包含一个伪装在 tar.gz 存档中的恶意加载程序。这种策略通常用于网络钓鱼攻击，诱骗收件人在不知情的情况下激活恶意软件并发起恶意活动。”

如果用户遭受网络钓鱼攻击，恶意软件将被下载并安装。

“感染链始于一封伪装成银行付款通知的网络钓鱼电子邮件，其中伪装的加载程序作为存档文件附加，”研究人员写道。

“然后，该加载程序使用混淆来逃避检测，并利用复杂的解密方法利用多态行为。加载程序还展示了绕过防病毒防御的能力，并使用特定的 URL 和用户代理利用代理来进一步混淆流量，从而检索其有效负载。有效负载本身，即 Agent Tesla 信息窃取程序，然后完全在内存中执行，使用受感染的电子邮件帐户通过 SMTP 捕获和泄露数据，以进行谨慎通信。”

使用受感染的电子邮件帐户窃取被盗数据有助于恶意软件避免被发现。

KnowBe4 使您的员工每天都能做出更明智的安全决策。 全球有超过 65,000 个组织信任 KnowBe4 平台，以加强其安全文化并降低人为风险。

安全文化

Trustwave 有故事。

故事