freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

伪装成屏保程序的Agent Tesla间谍木马分析
2020-06-24 10:00:41

近日,亚信安全截获了一款伪装成屏幕保护程序的Agent Tesla间谍木马。该木马通过检测进程名称的方式达到反调试目的,经过解密后采用进程镂空的方式最终执行恶意攻击载荷。其会窃取多个浏览器登录凭证和COOKIE信息,截取屏幕信息,记录键盘按键,最后将收集到的数据通过SMTP发送到黑客的邮箱。亚信安全将其命名为TrojanSpy.MSIL.NEGASTEAL.DYSGVZ。

攻击流程

病毒详细分析

该病毒伪装成屏幕保护程序,诱骗用户点击:

其使用C# 编写,反编译后代码被混淆:

去除混淆后,我们继续进行分析发现,该病毒具有反调试功能,其会检测父进程的名字是否为“dnSpy.exe”:

我们更改了调试器名字后继续进行分析,其看起来像是一款游戏:

但是却在初始化的时候开始执行恶意代码,将资源加载到内存中并执行:

其加载的资源为PE可执行文件:

PE可执行文件运行起来后开始加载主模块图像资源并解码执行:

加载后的程序如图所示:

其采用进程镂空的方式将恶意代码(Byte_1中所存储的)写入到新的子进程中运行:

我们将Byte_1中的数据dump出来继续分析,其Dump出来的是个PE文件:

其窃取如下浏览器所保存的登陆信息:

Opera BrowserYandex Browser
VivaldiCoccoc
CoowonBrave
Elements Browser7Star
OrbitumAmigo
ChromiumTorch Browser
360 BrowserLieBao Browser
Sleipnir 6Chedot
Epic PrivacyCitrio
KometaSputnik
CentBrowserCool Novo
Iridium BrowserUran
QIP SurfComodo Dragon

将搜集到的信息通过SMTP发送给黑客:

黑客收信邮箱账号与密码:

其他参数:

Smtp HostSmtp.yandex.com
Smtp enable ssltrue
Smtp port587

收集浏览器cookie打包后发送到黑客邮箱:

功能如下:

CO浏览器COOKIE
PW浏览器保存的密码
SC屏幕截图
KL键盘记录

黑客邮箱界面:

解决方案

不要点击来源不明的邮件以及附件;

不要点击来源不明的邮件中包含的链接;

请到正规网站下载程序;

采用高强度的密码,避免使用弱口令密码,并定期更换密码;

打开系统自动更新,并检测更新进行安装;

IOC

文件名称IMG_9120000151005_GR1342.scr
文件信息SHA1: 2B9D30611F9C622116CB9553**74FD90043A19F8
编译平台.Net
亚信安全检测名TrojanSpy.MSIL.NEGASTEAL.DYSGVZ

*本文作者:亚信安全,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 木马 # Agent Tesla
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦