间谍软件 Agent Tesla 新变种通过浏览器和 VPN 窃取数据

专家们发现了 Agent Tesla Trojan 的新变种，其中包括从流行的网络浏览器，VPN软件以及FTP和电子邮件客户端窃取凭据的模块。

SentinelOne的研究人员发现了流行的 Agent Tesla Trojan 的新变种，其中包括新的模块，可以从流行的Web浏览器，VPN软件以及FTP和电子邮件客户端等应用程序中窃取凭据。

Agent Tesla 是一种间谍软件，用于通过收集受感染系统的击键，系统剪贴板，屏幕截图和凭据来监视受害者。为此，间谍软件在main函数中创建不同的线程和计时器函数。

专家于2018年6月首次发现了该恶意软件，但自2014年以来一直可用，当时他们观察到威胁行为者通过包含可自动执行的恶意VBA Macro的Microsoft Word文档传播了该恶意软件。

用户启用 Macro 后，间谍软件将安装在受害者的计算机上

Agent Tesla 经常参与商业电子邮件泄露（BEC）攻击，并从受害者的系统中窃取数据并收集其系统上的信息。

该恶意软件的最新样本包括用于从几个应用程序收集应用程序配置数据和凭据的特定代码。

“目前，Agent Tesla 继续用于攻击的各个阶段。它持久地管理和操纵受害者设备的能力对低级犯罪分子仍然具有吸引力。” 读取SentinelOne发布的分析报告。“Agent Tesla 现在能够从许多常见的VPN客户端，FTP和电子邮件客户端以及Web浏览器中收集配置数据和凭据。该恶意软件能够从注册表以及相关的配置或支持文件中提取凭证。”

新的变体能够针对流行的应用程序，包括Google Chrome，Chromium，Safari，Brave，FileZilla，Mozilla Firefox，Mozilla Thunderbird，OpenVPN和Outlook。

然后，信息窃取木马尝试通过FTP或STMP将数据发送回命令和控制（C2）服务器，专家们注意到凭据在其内部配置中进行了硬编码。

最近的变体通常会将辅助可执行文件放入其中，或者将尝试注入目标主机上已经存在的已知二进制文件中。

专家报告说，该恶意软件经常使用“ Process Hollowing ”注入技术，该技术允许创建或操纵未映射内存部分（空洞）的进程。然后使用所需的恶意代码重新分配这些内存区域。

执行后，恶意软件将收集本地系统信息，安装键盘记录器模块，以及初始化用于发现和收集数据的例程。

最近的示例实现了发现无线网络设置和凭据的功能，然后在生成netsh.exe实例之前短时间保持休眠模式：
Netsh.exe wlan show profile

它们通常通过注册表项输入或计划任务来实现持久性。

Agent Tesla 公司已经存在了几年，但我们仍然认为它是一种commodity，在许多低至轻度复杂的攻击中被利用。攻击者正在不断进化，寻找新的方式成功使用像 Agent Tesla 这样的工具，同时躲避检测。归根结底，如果目标是收获和窃取数据，攻击者就会顺其自然；因此，我们仍然看到像 Agent Tesla 这样的“commodity”工具，以及Pony，Loki和其他low-hanging fruit恶意软件正在使用。