Agent Tesla Trojan发现了潜行过去防御的新方法

Agent Tesla的两个更新版本，广泛使用的信息窃取器和远程访问特洛伊木马（RAT），现在包含新的REDIVE技术，该技术旨在在Sophos发布的研究之前在提供恶意软件有效载荷之前禁用目标系统上的端点保护工具。

代理Tesla的新版本，通常到达对网络钓鱼电子邮件的恶意附件，包括一个多级过程。首先，它使用.NET下载程序从合法的第三方网站抓住恶意软件的块 - 例如Pastebin - 并将它们一起编织，以构建带最终有效载荷的装载机。

同时，它现在试图小心微软反恶意软件软件界面（AMSI）中的代码，以禁用任何现有的AMSI的端点保护工具，通常会阻止有效载荷下载，安装和运行。AMSI是Windows的一个功能，可让应用程序和服务与已安装的安全工具集成。

“Agent Tesla Malware已经活跃了超过七年，但它仍然是对Windows用户最常见的威胁之一，”Seholos高级安全研究员Sean Gallagher说。“它是在2020年通过电子邮件分发的顶级恶意软件系列之一。12月，代理Tesla有效载荷占Sophos扫描仪截获的恶意电子邮件附件攻击的大约20％。

“各种攻击者使用恶意软件通过屏幕截图，键盘日志记录和剪贴板捕获来窃取用户凭据和其他信息。

“代理Tesla最广泛的交付方法是恶意垃圾邮件 - 例如我们在我们的拟修研究中突出的电子邮件。Sophos认为网络犯罪分子将继续更新恶意软件并修改它以逃避端点和电子邮件保护工具。

“用于传播代理Tesla的电子邮件帐户通常是遭到损害的合法账户。组织和inpiduals应该始终如一地处理来自未知发件人的电子邮件附件，警告，并在打开之前验证所有附件。“

在今天发布的新研究中，Sophos探讨了目前传播的两个新版本，这两者都有几种其他更新，包括针对凭证盗窃的新应用程序 - 其中包括Web浏览器，电子邮件服务和VPN客户端 - 并且还可以捕获击键并拍摄屏幕截图。

研究人员还强调了两种版本的代理Tesla之间的观察到差异如何展示其持续的演变 - 除了Microsoft的AMSI的目标之外，它现在还包括安装和使用Tor网络客户端的选项，以及用于通信的电报消息API回到其命令和控制基础架构。

关于如何打击代理特斯拉中心的安全团队的建议，如曾经在最基本的水平保护用户，并预防感染开始。

这包括使用智能，最新的工具，可以在他们甚至在inboxes之前屏蔽恶意电子邮件，以及教育用户发现警告标志如果某些事情确实使其关注拼写错误和语言使用，那么似乎当然，似乎是真实的或似乎似乎的请求，而且当然，永远不会打开任何附件或点击来自未知发件人的电子邮件中的任何链接。

有关Sophos'Github页面的新版本的代理特斯拉的新版本的更多信息，可在Sophos的Github页面上使用。