新的 Agent Tesla 恶意软件变种解析

关键要点

• 恶意软件 Agent Tesla 的新变种正在利用 ZPAQ 文件压缩格式进行攻击。
• ZPAQ 提供了优于 RAR 和 ZIP 的压缩比和日志功能。
• 攻击通过伪装成 PDF 文档的 ZPAQ 文件发送的电子邮件开始。
• Agent Tesla 能够从接近 40 个网页浏览器和多个电子邮件客户端中窃取数据。

实在是值得关注的是，黑客组织正在分发一种新的 变种，这种变种利用了 ZPAQ 文件压缩格式的诱饵文件。根据 的报道，ZPAQ 格式具有比 RAR 和 ZIP更好的压缩比以及日志记录功能。

攻击通常从通过电子邮件发送伪装为 PDF 文档的 ZPAQ 文件开始。一旦下载，这个文件会提取出一个未解压的 .NET 可执行文件，该文件的大小被伪装为 1GB，以此防止被检测到。根据 G Data 的报告，Agent Tesla 接着会使得从近 40 个网页浏览器以及众多电子邮件客户端中提取数据成为可能。

而 ZPAQ 格式虽然给攻击者带来了优点，但其缺乏软件支持也是个明显的缺点，研究员 Anna Lvova 提到：“使用 ZPAQ压缩格式引发的问题更多于答案。这里的假设是，威胁行为者要么针对具有技术知识的特定群体，要么使用不太知名的档案工具，或者他们在测试其他技术以更快传播恶意软件并绕过安全软件。”

总结 ：随着新型恶意软件的不断演变，攻击者总在探索新的方式以躲避安全防护，ZPAQ 压缩格式的使用进一步表明了这一点。企业和用户需要提高警惕，确保防护措施跟上技术的发展。