新的钓鱼攻击活动分发信息窃取恶意软件

关键要点

• 威胁行为者启动了一项新的钓鱼活动，利用虚假的银行付款通知来传播Agent Tesla 恶意软件。
• 这一攻击涉及伪造的银行付款电子邮件，配有附加的压缩文件，当用户点击时，会触发一个恶意的.NET加载程序。
• 该加载程序可以规避Windows良性软件扫描接口，从而执行Agent Tesla，并减少踪迹。
• 这一发展标志着Agent Tesla部署战术的重大演变。

威胁行为者最近发起了一项新的钓鱼攻击活动，利用伪造的银行付款通知来帮助传播的信息窃取和键盘记录恶意软件。根据的报道，这些攻击包含虚假的银行付款电子邮件，附带压缩文件。一旦点击压缩文件，将会激活一个恶意的.NET加载程序，该加载程序可以绕过Windows良性软件扫描接口（AMSI），并执行AgentTesla。

TrustwaveSpiderLabs的报告指出，“该加载程序采用了打补丁等方法，以绕过AMSI的检测，并动态加载有效负载，确保隐秘执行并减少硬盘上的痕迹。该加载程序标志着AgentTesla部署战术的一项显著演变。”Trustwave研究员Bernard Bautista这样说。

此类发展跟随BlueVoyant的报告，该报告详细说明了TA544利用PDF文档传播WikiLoader恶意软件（也称为WailingCrab），以及Sekoia的报告指出在中间人攻击中越来越多地使用Tycoon钓鱼工具包。

注: 钓鱼攻击仍然是一种有效且流行的攻击手段，用户需保持警惕，不轻易点击不明邮件中的附件或链接。建议定期更新病毒防护软件，并确保系统运行最新安全补丁以减少风险。