Agent Tesla原本是个keylogger,现如今却正式变身成为了一款彻头彻尾的间谍软件——来自Zscaler的研究人员特别为此撰写了一份报告。
Agent Tesla的主要攻击形式是钓鱼邮件,邮件中藏有恶意Office文件。用户打开文件后,会有提示询问是否运行宏。一旦得到了用户的许可,Office文档就会自动下载安装Agent Tesla。
过去两年被多次出售
基于已知的YouTube视频资料,从2014年起至今,Agent Tesla已经存在了至少两年。如文章开头所说,最初这个恶意软件只是个简单的键盘记录器,记录用户的每一次按键,再回传至黑客的服务器。
随着时间的推移,恶意程序开发团队逐渐为之添加了更多的功能。现在的Agent Tesla已经不仅仅只是一个keylogger了,更准确的说,它就是个间谍软件。
最新版Agent Tesla特色在于模块化结构,买家在购买这款间谍软件的时候,可以选择部署的模块,也算是做到了按需购买。而且Agent Tesla当前就在互联网上出售,很容易买得到。
致命的特性
Agent Tesla自带以下的一些功能:桌面截图、记录键盘或虚拟键盘的敲击、窃取剪贴板数据、通过摄像头偷拍照片,还具备自我复制至USB设备的能力,以此达到扩散的目的。
此外,Agent Tesla还可以从Chrome、 Opera、Yandex、Firefox、IE、SeaMonkey、Comodo、Chromium、DynDNS、Filezilla、FlashFXP、Outlook、Netscape等应用转储密码。据Zscaler所说,Agent Tesla借鉴了IEPasswordDump和MailPassView两个合法软件的功能。
此间谍软件内部还特别包含了反分析工具,检测到用户在用安全软件的时候,就能自动终止Agent Tesla的运行,甚至还具备躲避虚拟机检测的能力。
必要时,Agent Tesla可以自我卸载,甚至禁用UAC、任务管理器、CMD、运行、控制面板、注册表、系统还原等核心Windows功能。
Zscaler表示已经向Diode反馈了这一情况,非法占用的域名当前已经下线。不过,依旧有部分黑客以每月9-30美元(约合人民币60-200元)的费用租用了Agent Tesla,预计其他黑客组织将来也会进行攻击部署。
