Agent Tesla商业木马变种正通过钓鱼邮件传播,窃取机密信息

2020-06-18 来源:原创 作者:腾讯电脑管家
【文章摘要】AgentTesla商业木马变种正在通过钓鱼邮件传播。木马执行后,会从资源中解密出现核心窃密程序,窃取中毒电脑的机密信息,包括:键盘记录,截屏,以及摄像头图像,还会从电脑上提取还原多种登录信息缓存,包括浏览器中保存的各网站登录帐号和密码,邮件客户端中保存的用户名密码等。腾讯电脑管家小团队版支持及时检测和查杀AgentTesla系列窃密木马,保护企业内部信息安全。

一、背景

腾讯安全威胁情报中心检测到有 Agent Tesla商业木马变种正在通过钓鱼邮件传播。攻击者伪装成某国大型航运公司发送以货运单据为主题的钓鱼邮件,并在附件中加入由木马打包而成的压缩程序。使用C#编译的木马外壳首先从资源文件中读取和加载Load程序PhotoDirector.dll,攻击者采用隐写技术,将木马执行程序隐藏在图片资源中,从图片资源中读取、解密得到Agent Tesla木马的exe可执行程序。

Agent Tesla为一款知名的商业窃密木马,木马执行后,会从资源中解密出现核心窃密程序,窃取中毒电脑的机密信息,包括:键盘记录,截屏,剪贴板记录,以及摄像头图像,还会从电脑上提取还原多种登录信息缓存,包括浏览器中保存的各网站登录帐号和密码,邮件客户端中保存的用户名密码,FTP工具、下载器中保存的密码等等。将窃取的数据通过Web Panel的方式回传至C&C服务器。一切完成之后,木马会删除自身,清理入侵痕迹。

腾讯安全专家建议用户小心处理电子邮件附件,腾讯电脑管家小团队版(https://team.qq.com/site/index.html)能够及时检测和查杀Agent Tesla系列窃密木马,保护企业内部信息安全,且管理功能丰富,可永久免费使用。


二、安全对策

1.管理员登录管家小团队版,首页概览可检查当前团队的设备安全状态和预警情况,查看网络资源使用情况、公告投放进度等信息。

2.实时检测团队设备安全状态,每个设备为一行,通过卡片形式检测该设备的基本统计、最近杀毒时间、5 类安全风险。 若该设备有风险,管理员可点击该设备卡片右上角出现下拉菜单,点击“提醒处理”,则会根据风险下发对应的的通知到该设备。还可以点击立即病毒查杀,针对病毒风险进行单独处理。

3.管理员可以在策略设置卡片中,修改团队的定期提醒闪电杀毒与定期提醒体检策略。当选择超过 X 天未杀毒时提醒,后台每天都会自动给 X 天未杀毒的设备下发杀毒提醒,及时提醒团队成员保障电脑安全。

4.团队成员可使用管家客户端定期查杀病毒,实时检测系统漏洞,保护电脑信息安全,提升运行效率。