【安全资讯】针对韩国用户的网络钓鱼活动
引言
Agent Tesla 是一种基于 .Net 的恶意软件,其核心功能是从受害者机器上收集敏感信息。近日,研究人员发现了传播Agent Tesla新变种的钓鱼活动,邮件正文的内容用韩文编写,要求受害者查看附件中的ppt文件以确认采购订单。
简况
钓鱼邮件中包含伪装成PPT的附件,一旦受害者打开附件,就会运行恶意宏。开发人员在交付 Agent Tesla 的过程中使用了多种脚本,包括 VBScript-embedded-in-HTML、独立的 VBScript 和 PowerShell。钓鱼邮件如下图:
Agent Tesla提供了许多功能,如键盘记录器、获取剪贴板数据、窃取浏览器 cookie 和保存的软件凭据,以及捕获受害者设备的屏幕截图。 攻击者可以通过Agent Tesla安装程序选择要启用的功能,安装程序根据选择编译 Agent Tesla 有效载荷文件。Agent Tesla 在其 Main()(窃取凭据)、Timer(键盘记录器、窃取剪贴板数据、截取屏幕截图)和 Thread(从浏览器窃取 cookie)函数中启动这些任务。
在 Agent Tesla 的这个变体中,攻击者只允许窃取凭据和 cookie。目标软件客户端数量超过70个,包括Web浏览器、电子邮件客户端、IM客户端、VPN/FTP/下载器/数据库客户端和Windows凭据。被盗凭据被保存在全局列表变量中,然后被格式化并发送给攻击者。受影响的客户端如下图:
将窃取的数据传输给攻击者的方法包括:
- FTP 数据(将文件中的窃取数据上传到攻击者提供的 FTP 服务器);
- HTTP Post(将数据作为帖子正文发送到攻击者提供的 URL);
- SMTP(将窃取的数据发送到攻击者的电子邮件);
- Telegram(使用 Telegram bot API“sendDocument()”将文件发送到指定的聊天或频道)。
在此次活动中,攻击者选择了 HTTP Post方法。一旦 Agent Tesla 需要向攻击者发送数据,就会使用 DES 算法对窃取的数据进行加密,并使用 base64 算法对结果进行编码,作为 HTTP Post 请求中的正文发送的数据。
总结
此次钓鱼活动针对韩国用户传播Agent Tesla新变种,影响的客户端高达70多种,可以窃取用户的凭据和cookie,并通过 HTTP Post 方法将窃取的数据发送给攻击者。