朋友微信聯系我，說遇到一個釣魚郵件，問我有沒有興趣看看，郵件轉發給我，如下所示：

　　郵件偽裝成紹興安迪醫療科技有限公司關于 COVID-19 疫情訂單票據信息，附件是一個惡意程序，通過分析發現郵件附件攜帶的就是最近非常流行的 AgentTesla 間諜竊密木馬。

　　AgentTesla 原本是一款在 2014 年發布的簡單的鍵盤記錄器，最近年來其開發團隊為其不斷修改它的源代碼，在原有的功能上又增加了許多新功能，并且在地址黑客論壇宣傳出售，AgentTesla 目前已成為一個商業化的流行間諜竊密木馬，該木馬主要通過釣魚郵件進行傳播，目前這款間諜竊密木馬在全球范圍內都非常流行，主要用于竊取受害者主機的重要數據。

　　樣本采用 NET 語言進行編寫，如下所示：

　　樣本采用 Eazfuscator 進行混淆處理，如下所示：

　　反混淆之后，如下所示：

　　解密程序中的字符串，然后加載執行，如下所示：

　　解密出來的數據，如下所示：

　　調用解密后程序的 SearchFigure 函數，如下所示：

　　解密程序資源數據，然后加載執行，如下所示：

　　程序中包含的資源數據，如下所示：

　　編寫程序解密資源數據，得到竊密木馬核心代碼，如下所示：

　　通過分析發現這是 AgentTesla 竊密木馬，如下所示：

　　捕獲到的黑客 URL 地址 hxxp://scarfponcho[.]com/notsite/five/fre.php，IP 地址位于美國地區，如下所示：

　　現在各種惡意軟件橫行，勒索、竊密、僵尸網絡成為了全球黑客組織謀利的重要武器，通過竊密木馬盜取目標的重要數據，然后再利用勒索病毒對重要數據進行加密勒索，有些黑客組織通過組織物聯網僵尸網絡對指定的目標發起毀滅性的 DDOS 攻擊，導致目標設備無法運行，達到網絡攻擊的目的，很多企業中了竊密木馬，還不知道，勒索病毒更是屢禁不止，每天都有舊的勒索病毒變種出現，同時又涌現出各種新型的勒索病毒家族，全球網絡安全形勢嚴峻，現在很多單位中了勒索都選擇默默交錢，有一些還存在瞞報的情況，這也導致勒索病毒黑客組織越來越多，攻擊越來越頻繁，僵尸網絡主要以 Mirai 變種或新型的基于各種不同平臺的僵尸網絡家族為主。

　　常常有讀者朋友通過微信或其他方式給我發送一些新的惡意軟件或遇到的一些網絡攻擊案例，非常感謝這些朋友或讀者給我提供這些最新的攻擊樣本，同時也歡迎各位讀者朋友，不管是你的企業，還是你個人遇到了一些網絡安全攻擊事件，都可以通過微信或郵件給我提供各種相關的威脅情報，樣本、域名、IP 地址、釣魚郵件、釣魚網站等等。

　　我常常說安全的路很長，未來一定會需要更多專業的安全人才，希望各位正在從事安全領域的安全研究人員，千萬不要被現在圈子里的一些浮燥的東西所影響，沉下心來，踏踏實實去研究點東西，堅持做下去，其實不管哪家公司，不管它以前發展的有多么壯大，取得了什么成績，都已經成為了過去，如果后面沒有更多的努力，積極向上，追求優秀的人才，這家公司未來一定是走下坡路的，任何一家公司都是這樣，就算是像現在 BAT 這樣的公司，如果不持續發展，沒有更多努力奮斗的人持續不斷的努力，未來十年，結果也一樣的，漠落都只是時間的問題而已，公司現在的一點點成績，可能是因為前面二三十年的堅持與積累，同時又正好趕上了風口取得的，但現在的這一點點成績，還遠遠不夠，如果大家都只顧著吃老本，驕傲自滿，固步自封，夜郎自大，井底之蛙，那公司很快就會走下坡路，公司要想長期的發展壯大，未來取得更好的成績，就需要持續不斷的努力前行，安全行業，未來一定是有前途的，如果你真的對安全感興趣，堅持去做，多多積累就可以了。

　　*本文作者：熊貓正正，轉載請注明來自 FreeBuf.COM

總結

以上是生活随笔為你收集整理的冒充医疗科技公司邮件，传播间谍窃密木马的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。