Sophos發表對Agent Tesla的最新研究成果,其中詳細介紹攻擊者使用的最新規避技術。Agent Tesla會先停用端點保護,再傳遞惡意軟體並安裝和執行裝載,並強化了竊取資訊的能力。
Agent Tesla會從網路瀏覽器、電子郵件用戶端、VPN用戶端以及其他儲存使用者名稱和密碼的軟體中竊取資訊。它會擷取使用者的按鍵輸入(例如輸入密碼)並記錄螢幕擷取畫面,以便查看螢幕上的內容。
這個資訊竊取軟體的最新版本會使用Telegram訊息服務來與幕後的操控者通訊,還可以使用被稱為Tor的軟體程式(在暗網上非常流行)來隱藏活動,例如移除所偷取的資料。它還會試圖變更軟體程式碼以阻擋安全保護。
Sophos資深研究人員Sean Gallagher表示,Agent Tesla已經活躍了七年多,但它仍然是Windows使用者最常見的威脅之一。Agent Tesla最常用的傳遞方法是透過惡意垃圾郵件的附件,且用來寄送Agent Tesla的電子郵件帳戶通常是遭到入侵的合法帳戶。組織和個人應該像往常一樣,謹慎看待來路不明的電子郵件附件,並在開啟附件之前先對其進行驗證。
Sophos建議IT管理員檢查以下項目來確保電子郵件安全
- 安裝智慧型、安全的解決方案,以在可疑電子郵件及其附件送達使用者之前先加以篩選、偵測和阻擋。
- 實作獲認可的驗證標準,以驗證電子郵件是否名符其實。
- 教育員工觀察可疑電子郵件的警告信號,以及發現時的處理方法。
- 建議使用者仔細檢查電子郵件是否來自該地址和聲稱的寄件者。
- 建議使用者不要開啟附件或點按來路不明的電子郵件中的連結。