安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
伪装成屏保程序的Agent Tesla间谍木马分析
2020-06-24 11:07:07 【

近日,亚信安全截获了一款伪装成屏幕保护程序的Agent Tesla间谍木马。该木马通过检测进程名称的方式达到反调试目的,经过解密后采用进程镂空的方式最终执行恶意攻击载荷。其会窃取多个浏览器登录凭证和COOKIE信息,截取屏幕信息,记录键盘按键,最后将收集到的数据通过SMTP发送到黑客的邮箱。亚信安全将其命名为TrojanSpy.MSIL.NEGASTEAL.DYSGVZ。

攻击流程

病毒详细分析

该病毒伪装成屏幕保护程序,诱骗用户点击:

其使用C# 编写,反编译后代码被混淆:

去除混淆后,我们继续进行分析发现,该病毒具有反调试功能,其会检测父进程的名字是否为“dnSpy.exe”:

我们更改了调试器名字后继续进行分析,其看起来像是一款游戏:

但是却在初始化的时候开始执行恶意代码,将资源加载到内存中并执行:

其加载的资源为PE可执行文件:

PE可执行文件运行起来后开始加载主模块图像资源并解码执行:

加载后的程序如图所示:

其采用进程镂空的方式将恶意代码(Byte_1中所存储的)写入到新的子进程中运行:

我们将Byte_1中的数据dump出来继续分析,其Dump出来的是个PE文件:

其窃取如下浏览器所保存的登陆信息:

Opera Browser Yandex Browser Vivaldi Coccoc Coowon Brave Elements Browser 7Star Orbitum Amigo Chromium Torch Browser 360 Browser LieBao Browser Sleipnir 6 Chedot Epic Privacy Citrio Kometa Sputnik CentBrowser Cool Novo Iridium Browser Uran QIP Surf Comodo Dragon

将搜集到的信息通过SMTP发送给黑客:

黑客收信邮箱账号与密码:

其他参数:

Smtp Host Smtp.yandex.com Smtp enable ssl true Smtp port 587

收集浏览器cookie打包后发送到黑客邮箱:

功能如下:

CO 浏览器COOKIE PW 浏览器保存的密码 SC 屏幕截图 KL 键盘记录

黑客邮箱界面:

解决方案

不要点击来源不明的邮件以及附件;

不要点击来源不明的邮件中包含的链接;

请到正规网站下载程序;

采用高强度的密码,避免使用弱口令密码,并定期更换密码;

IOC 文件名称 IMG_9120000151005_GR1342.scr 文件信息 SHA1: 2B9D30611F9C622116CB9553**74FD90043A19F8 编译平台 .Net 亚信安全检测名 TrojanSpy.MSIL.NEGASTEAL.DYSGVZ


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇高防CDN和高防IP有什么区别?哪种.. 下一篇DDoS放大攻击的方式有哪些

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800