新攻擊活動正利用惡意RTF文件傳播多種資訊竊取類病毒

思 科Talos團隊在本週一（10月15日）通過一篇博文發出警告稱，新發現的計算機病毒感染活動正在利用惡意RTF文件向不知情的受害者傳播資訊竊取類病毒。

作為攻擊的一部分，攻擊者使用了已知的漏洞利用指令碼來進行計算機病毒的傳播，但已經對其進行了修改，因此不會觸發防病毒軟體的安全警報。此次活動所傳播的計算機病毒被證實是Agent Tesla木馬以及其他惡意軟體家族，包括Loki資訊竊取木馬。

在此次活動中，攻擊者使用的惡意文件濫用了早在一年前就已經被微軟修復的CVE-2017-11882（一個Office遠端程式碼執行漏洞）。除了Agent Tesla和Loki之外，攻擊者還傳播了一些年代久遠的計算機病毒，如Gamarue。

根據Talos團隊的說法，在他們對惡意RTF文件進行分析時，VirusTotal（一個免費提供可疑檔案分析服務的網站，能夠通過各種知名的反病毒引擎對使用者所上傳的檔案進行檢測，以判斷檔案是否被病毒、蠕蟲、木馬，以及各類惡意軟體感染）幾乎沒有能夠將它檢測出來——在58款反病毒引擎中，僅有兩款將其判定為可疑檔案。

病毒感染鏈濫用了易受攻擊的Microsoft Office公式編輯器（EQNEDT32.exe）來下載一個名為“xyz.123”的檔案（最終的有效載荷檔案）並建立一個名為“scvhost.exe”程序，而該程序稍後會另一個同名的程序。

Talos團隊表示，雖然RTF文件不支援巨集語言，但Microsoft物件連結和嵌入（OLE）物件以及Macintosh Edition Manager subscriber物件是支援的。因此，攻擊者可以將物件嵌入到RTF中以通過OLE函式利用公式編輯器，並且還可以對文件本身進行高度混淆處理以避免檢測。

作為被傳播病毒之一的Agent Tesla木馬不僅具備資訊竊取功能，而且還具備下載其它惡意程式到受感染主機的能力。它是由一家提供灰色軟體產品的公司出售的，該公司聲稱該程式是為密碼恢復和兒童監控而設計的。

然而，該木馬不僅可以竊取超過25種常見應用程式的密碼，還包括一系列rootkit功能，如鍵盤記錄、剪貼簿竊取、抓取螢幕截圖和網路攝像頭訪問。

就密碼竊取功能而言，Agent Tesla的目標應用程式包括Chrome、Firefox、Internet Explorer、Yandex、Opera、Outlook、Thunderbird、IncrediMail、Eudora、FileZilla、WinSCP、FTP Navigator、Paltalk、Internet Download Manager、JDownloader、Apple keychain、SeaMonkey、Comodo Dragon、Flock和DynDNS等。

此外，在此次活動中傳播Agent Tesla樣本還包括對SMTP、FTP和HTTP滲透的支援，但僅使用HTTP POST方法。資料以加密方式傳送到C＆C，採用了3DES加密演算法。

Talos團隊在其博文的結尾總結說：“這是一場高效的計算機病毒感染活動，能夠規避大多數反病毒軟體的檢測。攻擊者使用了一個經修改的漏洞利用指令碼來下載Agent Tesla和其他惡意軟體。”

“目前尚不清楚攻擊者是通過手動修改指令碼，還是使用了某種工具來生成shellcode。但無論如何，這都表明攻擊者或他們所使用的工具具備修改彙編程式碼的能力，使生成的操作碼位元組看起來完全不同，但仍然能夠利用相同的漏洞。這種技術很可能在今後被用來以一種隱蔽的方式部署其他惡意軟體。”

宣告：本文來自黑客視界，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在於傳遞更多資訊。如需轉載，請聯絡原作者獲取授權。