最近，網絡安全公司趨勢科技（ Trend Micro）監測到了一起惡意垃圾電子郵件活動。傳播的有效載荷從最開始的間諜木馬“Agent Tesla”（也被稱為“Negasteal”），再到后來的遠控木馬“Ave Maria”（也被稱為“Warzone”），似乎預示著這起活動背后的黑客正朝著部署更具破壞力的惡意軟件轉變。

值得注意的是，垃圾電子郵件使用了IOS鏡像文件以及RAR和LZH壓縮文件作為附件，旨在繞過安全檢測，進而提升感染的成功率。

垃圾電子郵件分析

趨勢科技表示，與這起活動相關的垃圾電子郵件附件大都偽裝成裝運通知和財務文件。

圖1. 包含Agent Tesla間諜木馬的RAR附件偽裝成裝運通知

圖2.包含Ave Maria遠控木馬的LZH附件偽裝成預付款通知

無論是Agent Tesla還是Ave Maria，都經過兩層混淆處理：第一層，實際的惡意軟件二進制文件被混淆為AutoIT腳本（.au3）；第二層，使用Autout編譯器（如Aut2Exe）將腳本編譯為可執行文件。

圖3. Agent Tesla（上）和Ave Maria（下）的感染流程

一旦收件人下載了惡意附件，有效載荷就會自動被提取到計算機上。

惡意附件包含一個基于AutoIT的打包程序或加密程序，用于執行一個可以解密或加載Frenchy Shellcode版本5的腳本。

惡意有效載荷分析

在活動的早期，有效載荷為Agent Tesla，它能夠記錄按鍵、控制攝像頭、屏幕截圖、收集保存在剪貼板上的信息，以及從瀏覽器和電子郵件客戶端等收集系統信息以及保存的用戶名和密碼。

但在活動的后期，Ave Maria開始現身，它擁有比Agent Tesla更多的功能。例如，它能夠利用UAC繞過和進程令牌來提升特權，然后執行PowerShell Add-MpPreference –ExclusionPath cmdlet，通過修改windows Defender的設置以排除特定路徑的實時掃描。

此外，Agent Tesla還會與命令和控制（C&C）服務器建立連接，以上傳收集到的數據。

圖4. Ave Maria代碼在特權提升后建立C＆C連接

值得一提的是，無論是否進行特權提升，如果Ave Maria能夠在系統中創建注冊表項或將其自身的副本放置到“％Program Data％”目錄中，它就將創建一個cmd.exe進程，然后注入惡意代碼。如果失敗，它將執行explorer.exe進行代碼注入。

圖5. Ave Maria執行explorer.exe進行代碼注入

一旦在受感染計算機上成功運行，Ave Maria即可記錄用戶的按鍵以及從以下協議和應用程序中竊取用戶名和密碼：

協議：

• HTTP
• IMAP
• POP3
• SMTP

應用程序：

• Microsoft Outlook（1997-2010、2013和 2016 版本）
• Windows Messaging
• IE瀏覽器
• 谷歌瀏覽器
• Foxmail
• Thunderbird
• 火狐瀏覽器

不僅如此，Ave Maria還可以在受感染計算機上修改、刪除和創建任意文件，以及枚舉進程、文件、目錄和驅動器。此外，它還能夠終止正在運行的進程、刪除文件以及自行卸載。

安全建議

鑒于惡意垃圾電子郵件使用的是IOS鏡像文件以及RAR和LZH壓縮文件作為附件，并且Agent Tesla以及Ave Maria都經過了高度混淆處理，因此我們建議無論是企業用戶還是個人用戶，都不要打來來路不明的電子郵件，尤其是電子郵件附件。

另外，無論是在工作場所還是家里，都要保持良好的上網習慣，并定期使用殺毒軟件進行全盤掃描。