新的 Agent Tesla 恶意软件变种解析
关键要点
恶意软件 Agent Tesla 的新变种正在利用 ZPAQ 文件压缩格式进行攻击。ZPAQ 提供了优于 RAR 和 ZIP 的压缩比和日志功能。攻击通过伪装成 PDF 文档的 ZPAQ 文件发送的电子邮件开始。Agent Tesla 能够从接近 40 个网页浏览器和多个电子邮件客户端中窃取数据。实在是值得关注的是,黑客组织正在分发一种新的 Agent Tesla 恶意软件 变种,这种变种利用了 ZPAQ 文件压缩格式的诱饵文件。根据 The Hacker News 的报道,ZPAQ 格式具有比 RAR 和 ZIP 更好的压缩比以及日志记录功能。
攻击通常从通过电子邮件发送伪装为 PDF 文档的 ZPAQ 文件开始。一旦下载,这个文件会提取出一个未解压的 NET 可执行文件,该文件的大小被伪装为 1 GB,以此防止被检测到。根据 G Data 的报告,Agent Tesla 接着会使得从近 40 个网页浏览器以及众多电子邮件客户端中提取数据成为可能。
clash加速器而 ZPAQ 格式虽然给攻击者带来了优点,但其缺乏软件支持也是个明显的缺点,研究员 Anna Lvova 提到:“使用 ZPAQ 压缩格式引发的问题更多于答案。这里的假设是,威胁行为者要么针对具有技术知识的特定群体,要么使用不太知名的档案工具,或者他们在测试其他技术以更快传播恶意软件并绕过安全软件。”
特点ZPAQRARZIP压缩率较高较低较低日志功能支持不支持不支持软件支持较少较多较多总结:随着新型恶意软件的不断演变,攻击者总在探索新的方式以躲避安全防护,ZPAQ 压缩格式的使用进一步表明了这一点。企业和用户需要提高警惕,确保防护措施跟上技术的发展。
