吉沃运营专员 发表于 2022-11-1 16:38:50

AgentTesla 正通过 VBS 分发

英文原文:https://asec.ahnlab.com/en/40890/
ASEC 分析团队最近发现 AgentTesla 正在通过恶意 VBS 进行分发,脚本文件有多个代码被多次混淆。AgentTesla 已于去年 5 月被发现,通过 Windows 帮助文件 (*.chm) 进行分发,而且其分发方式似乎在不断变化。

VBS 脚本作为电子邮件附件分发,最近,还发现了冒充韩国公司的电子邮件。



压缩文件包含 VBS,常用的文件名包括发票和提案。确认的文件名如下:



确认的 VBS 文件包含多个注释和虚拟代码。



除了多个注释和伪代码之外,底部还有一个代码负责读取当前运行的 VBS 文件中的字符串,不包括每 2 个字符



执行此代码时,注释中的字符串将被解码并执行新的脚本代码。解码后的代码包括一个混淆的 shellcode 和一个额外的 PowerShell 命令。



执行上述脚本代码时,混淆后的 shellcode 的值 "Ch8" 被保存到 HKCU\Software\Basilicae17\Vegetates。



之后,通过 PowerShell 执行 "O9" 变量的值。 "O9" 变量包含一个 PowerShell 命令,执行的命令被混淆如下所示

powershell.exe“$Quegh = “””DatFMaruBidnMescFultkariStaoPtenKol EftHStaTBesBCel Uer{Taw fem Las Ude UndpLawaDokrSlaaQuamAsi(UhjFes`$LivHPerSWir)Con;Fat Ret Hjl Amp Aft`$IntBLavySaltfaseBinsEno Che=Sax CenNDvdeDoswCyp-VovOShab <ommited> Ind5Nin3Ree#Apo;”””;;
Function Tammy159 { param($HS);For($i=3; $i -lt $HS.Length-1; $i+=(3+1)){ $Statice = $Statice + $HS.Substring($i, 1);   }    $Statice;}
$Ambulancetjeneste1820 = Tammy159 ‘UnsIPujEFolXInt ‘;
$Ambulancetjeneste1821= Tammy159 $Quegh;
& ($Ambulancetjeneste1820) $Ambulancetjeneste1821;;
PowerShell 代码通过排除每 3 个字符来解码保存在 "$Quegh" 变量中的混淆值。(例如 UnsIPujEFolXInt -> IEX)

解码后的命令也被混淆了,最终执行的代码如下



之前保存在 HKCU\Software\Basilicae17\Vegetates 中的混淆后的 shellcode 在 base64 中解码并执行,执行的 shellcode 将 AgentTesla 恶意软件注入正常进程 CasPol.exe 中。AgentTesla 是一个信息窃取器,它收集用户 PC 信息,将其压缩成 CO_[用户名]/.zip 并通过电子邮件泄露。

使用的电子邮件信息如下


[*]From : hasan@edp-bkv.com
[*]To : kingpentecost22@gmail.com
[*]pw : Fb56****65fr



AgentTesla 是在每周统计中也很流行的恶意软件,其分发方式也在不断变化。此外,建议谨慎,因为根据 shellcode,除了 AgentTesla 之外,还可以执行各种恶意软件。

IOC


[*]7fe2ed92d9306c8f0843cbb4a38f88e0
[*]b06081daa9bc002cd750efb65e1e932e
[*]eccef74de61f20a212ecbb4ead636f73
[*]ea202427fbe14d9a6d808b9ee911f68c

页: [1]
查看完整版本: AgentTesla 正通过 VBS 分发