AgentTesla 正通过 VBS 分发

吉沃运营专员

英文原文：https://asec.ahnlab.com/en/40890/

ASEC 分析团队最近发现 AgentTesla 正在通过恶意 VBS 进行分发，脚本文件有多个代码被多次混淆。AgentTesla 已于去年 5 月被发现，通过 Windows 帮助文件 (*.chm) 进行分发，而且其分发方式似乎在不断变化。

VBS 脚本作为电子邮件附件分发，最近，还发现了冒充韩国公司的电子邮件。



压缩文件包含 VBS，常用的文件名包括发票和提案。确认的文件名如下：



确认的 VBS 文件包含多个注释和虚拟代码。



除了多个注释和伪代码之外，底部还有一个代码负责读取当前运行的 VBS 文件中的字符串，不包括每 2 个字符



执行此代码时，注释中的字符串将被解码并执行新的脚本代码。解码后的代码包括一个混淆的 shellcode 和一个额外的 PowerShell 命令。



执行上述脚本代码时，混淆后的 shellcode 的值 "Ch8" 被保存到 HKCU\Software\Basilicae17\Vegetates。



之后，通过 PowerShell 执行 "O9" 变量的值。 "O9" 变量包含一个 PowerShell 命令，执行的命令被混淆如下所示

1. powershell.exe  “$Quegh = “””DatFMaruBidnMescFultkariStaoPtenKol EftHStaTBesBCel Uer{Taw fem Las Ude UndpLawaDokrSlaaQuamAsi(Uhj[DagSBontUnbrSkaiTilnHalgTis]Fes`$LivHPerSWir)Con;Fat Ret Hjl Amp Aft`$IntBLavySaltfaseBinsEno Che=Sax CenNDvdeDoswCyp-VovOShab <ommited> Ind5Nin3Ree#Apo;”””;;
   
2. Function Tammy159 { param([String]$HS);  For($i=3; $i -lt $HS.Length-1; $i+=(3+1)){ $Statice = $Statice + $HS.Substring($i, 1);   }    $Statice;}
   
3. $Ambulancetjeneste1820 = Tammy159 ‘UnsIPujEFolXInt ‘;
   
4. $Ambulancetjeneste1821= Tammy159 $Quegh;
   
5. & ($Ambulancetjeneste1820) $Ambulancetjeneste1821;;

复制代码

PowerShell 代码通过排除每 3 个字符来解码保存在 "$Quegh" 变量中的混淆值。(例如 UnsIPujEFolXInt -> IEX)

解码后的命令也被混淆了，最终执行的代码如下



之前保存在 HKCU\Software\Basilicae17\Vegetates 中的混淆后的 shellcode 在 base64 中解码并执行，执行的 shellcode 将 AgentTesla 恶意软件注入正常进程 CasPol.exe 中。AgentTesla 是一个信息窃取器，它收集用户 PC 信息，将其压缩成 CO_[用户名]/[PC 名称].zip 并通过电子邮件泄露。

使用的电子邮件信息如下

• From : hasan@edp-bkv.com
• To : kingpentecost22@gmail.com
• pw : Fb56****65fr
  

AgentTesla 是在每周统计中也很流行的恶意软件，其分发方式也在不断变化。此外，建议谨慎，因为根据 shellcode，除了 AgentTesla 之外，还可以执行各种恶意软件。

IOC

• 7fe2ed92d9306c8f0843cbb4a38f88e0
• b06081daa9bc002cd750efb65e1e932e
• eccef74de61f20a212ecbb4ead636f73
• ea202427fbe14d9a6d808b9ee911f68c