漏洞链被修改，合法键盘记录实用程序Agent Tesla成信息窃取工具

在新的恶意软件活动中，网络犯罪分子修改了一个已知的漏洞利用链，以推动Agent Tesla信息窃取程序，而不会触发常见防病毒产品的检测。

网络犯罪分子设置了一个基础架构，通过针对Microsoft Word漏洞CVE-2017-0199和CVE-2017-11882的两个公共漏洞来交付多个恶意软件系列。

旨在消除一堆恶意软件

根据Cisco Talos的分析师的说法，该活动旨在至少减少三个有效载荷：特工Tesla，Loki和Gamarue。所有这些都能够窃取信息，而且只有Loki缺乏远程访问功能。

攻击以包含Word文档（DOCX）的电子邮件开始，该文档包括用于下载和打开RTF文件的例程，该文件提供最终的有效负载。这个RTF没有被注意到。

58个防病毒程序中只有两个发现任何可疑的东西。标记此样本的程序仅警告格式错误的RTF文件.AhnLab-V3将其标记为'RTF / Malform-A.Gen'，而Zoner表示可能标志为'RTFBadVersion'，“研究人员今天在一份报告中写道。

防病毒规避的变化

研究人员表示，对漏洞链进行的修改使包含下载恶意软件程序的文档无法被常规防病毒解决方案检测到。

有效载荷丢弃钻取的秘密依赖于RTF文件格式的特殊性，它支持通过OLE（对象链接和嵌入）嵌入对象，并使用大量控制字来定义它所拥有的内容。

除此之外，常见的RTF解析器通常会忽略它们不知道的内容，结果是隐藏漏洞利用代码的完美组合。在这种情况下，用户不必更改Microsoft Word的设置或单击任何内容来触发漏洞利用。

RTF与OLE对象的控制字

RTF文件结构中的混淆并不是唯一有助于文档未被检测到的东西。更深入的分析显示攻击者更改了OLE Object头的值。

在标题之后，他们添加了关于看起来像字体标记的数据，但结果证明它是Microsoft Office中CVE-2017-11882内存损坏漏洞的漏洞。

修改了标题信息

研究人员表示，无论手动修改还是使用工具进行修改，该技术都是危险的。这些更改处于较低级别，并使一切看起来不同，但它使用的漏洞代码已在其他广告系列中看到过。

恶意软件功能

特斯拉特工被称为“复杂的信息窃取木马”，作为合法的键盘记录实用程序销售。然而，研究人员质疑该工具的合法功能，称它具有25种常见应用程序的密码窃取功能，如流行的Web浏览器，电子邮件和FTP客户端。

Loki恶意软件严格属于信息窃取类别，希望获取密码。它经常被广告宣传，它的描述补充说它也可以针对加密货币钱包。

至于Gamarue系列威胁，它在为僵尸网络牧民提供新机器人方面有着良好的记录。它是一种蠕虫，因此可以快速传播到易受攻击的系统，让操作员可以访问它们。虽然它不是专业，但Gamarue可用于窃取敏感信息。

（作者：区块链安全档案，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）