研究员发现恶意软件Tesla新变种

特工Tesla恶意软件软件的一个新变种已经通过恶意Microsoft Word文档Fortinet报告进行传播。该恶意软件最初是在去年6月份进行了详细介绍的，当时安全研究人员发现它正在通过包含可自动执行的恶意VBA宏的Microsoft Word文档进行传播。打开文档时，用户被要求“启用内容”，这导致间谍软件被隐蔽安装，如果他们这样做的话。

最近的广告系列中观察到的恶意文档要求受害者双击蓝色图标以启用“清晰视图”。但是，此操作会导致从嵌入对象中提取POM.exe文件，该文件被保存到系统的临时文件夹并执行。

Fortinet公司的Xiaopeng Zhang透露，POM.exe可执行文件是用Visual Basic编写的，可以用作安装程序。

Agent Tesla间谍软件旨在从各种已安装的软件中收集击键，系统剪贴板，截图和凭证。为了执行其恶意活动，恶意软件在主功能中创建不同的线程和计时器功能。

新的恶意软件变体与先前观察到的版本具有相同的功能，但使用SMTPS将收集的数据发送到攻击者的电子邮箱，而不是HTTP POST请求。

“根据我的分析，SMTP方法中使用的命令包括’恢复密码’，’屏幕截图’和’击键’等。这些命令在电子邮件的”主题“字段中进行标识，”安全研究员解释说。

为了收到被窃取的信息，攻击者为此活动注册了免费的Zoho电子邮件帐户。 Fortinet表示，电子邮件服务提供商已被告知滥用情况。