特斯拉特工使用新的传送和规避技术发现恶意软件

安全研究人员周二发现了特斯拉远程访问特洛伊木马（RAT）特工为绕过防御屏障并监控其受害者而采用的新传送和规避技术。

Windows spyware通常通过社会工程诱惑传播，现在不仅针对微软的反恶意软件扫描界面（AMSI），试图击败端点保护软件，它还采用多阶段安装过程，并利用Tor和电报消息API与命令和控制（C2）服务器通信。

网络安全公司Sophos观察了特斯拉特工的两个版本—；版本2和版本3—；他说，这些变化是特斯拉特工不断进化的又一个迹象，旨在使沙箱和静态分析变得更加困难。

Sophos研究人员指出：“我们看到的特斯拉特工v2和v3之间的差异似乎集中在提高恶意软件对抗沙箱防御和恶意软件扫描的成功率，以及为攻击者客户提供更多C2选项上。”。

A.自2014年底以来，基于NET的键盘记录和信息窃取者特斯拉特工已被部署在多起攻击中，随着时间的推移，特斯拉特工还加入了其他功能，使其能够监控和收集受害者的键盘输入、截图，以及过滤属于各种软件（如VPN客户端）的凭据，FTP和电子邮件客户端，以及web浏览器。

去年5月，在疫情最严重的时候，一种变种的恶意软件被发现通过以新冠病毒为主题的垃圾邮件活动传播，窃取Wi-Fi密码和其他信息–；例如Outlook电子邮件凭据–；来自目标系统。

然后在2020年8月，代理恶意软件的第二个版本将针对凭证盗窃的应用程序数量增加到55个，其结果随后通过SMTP或FTP传输到攻击者控制的服务器。

虽然早在2018年就发现使用SMTP向攻击者控制的邮件服务器发送信息，但Sophos发现的其中一个新版本也利用Tor proxy for HTTP communications和messaging app Telegram的API将信息转发到私人聊天室。

除此之外，特斯拉特工的多阶段恶意软件安装过程也得到了重大升级，第一阶段恶意软件下载程序现在试图修改AMSI中的代码，以跳过对从Pastebin（或Hastebin）获取的第二阶段恶意有效载荷的扫描。

这个临时有效载荷是经过模糊处理的base64编码代码块，随后被解码以检索用于注入代理Tesla恶意软件的加载程序。

AMSI是一种接口标准，允许应用程序和服务与Windows计算机上现有的任何反恶意软件产品集成。

此外，为了实现持久性，恶意软件会将自己复制到一个文件夹中，并将该文件夹的属性设置为“隐藏”和“系统”，以便在Windows资源管理器中隐藏它。

Sophos威胁研究人员肖恩·加拉赫（Sean Gallagher）和马克尔·皮卡多（Markel Picado）说：“特斯拉特工最普遍的发送方式是恶意垃圾邮件。”。

“用于传播特斯拉特工的电子邮件帐户通常是已被泄露的合法帐户。组织和个人应一如既往地谨慎对待来自未知发件人的电子邮件附件，并在打开附件之前验证附件。”