键盘记录器变身！揭秘间谍软件中的“战斗机”Agent Tesla

Agent Tesla原本是个keylogger，现如今却正式变身成为了一款彻头彻尾的间谍软件——来自Zscaler的研究人员特别为此撰写了一份报告。

Agent Tesla的主要攻击形式是钓鱼邮件，邮件中藏有恶意Office文件。用户打开文件后，会有提示询问是否运行宏。一旦得到了用户的许可，Office文档就会自动下载安装Agent Tesla。

这些垃圾邮件的来源其实也很有意思，乍看很像是来自Diode Technology公司的邮件——Diode Technology是家咨询公司。那些携有恶意Office文档的垃圾邮件，就是在后缀部分模仿Diode Technology的域名。Diode及其客户可能都是这次鱼叉式钓鱼攻击的受害者。

过去两年被多次出售

基于已知的YouTube视频资料，从2014年起至今，Agent Tesla已经存在了至少两年。如文章开头所说，最初这个恶意软件只是个简单的键盘记录器，记录用户的每一次按键，再回传至黑客的服务器。

随着时间的推移，恶意程序开发团队逐渐为之添加了更多的功能。现在的Agent Tesla已经不仅仅只是一个keylogger了，更准确的说，它就是个间谍软件。

最新版Agent Tesla特色在于模块化结构，买家在购买这款间谍软件的时候，可以选择部署的模块，也算是做到了按需购买。而且Agent Tesla当前就在互联网上出售，很容易买得到。

致命的特性

Agent Tesla自带以下的一些功能：桌面截图、记录键盘或虚拟键盘的敲击、窃取剪贴板数据、通过摄像头偷拍照片，还具备自我复制至USB设备的能力，以此达到扩散的目的。

此外，Agent Tesla还可以从Chrome、 Opera、Yandex、Firefox、IE、SeaMonkey、Comodo、Chromium、DynDNS、Filezilla、FlashFXP、Outlook、Netscape等应用转储密码。据Zscaler所说，Agent Tesla借鉴了IEPasswordDump和MailPassView两个合法软件的功能。

此间谍软件内部还特别包含了反分析工具，检测到用户在用安全软件的时候，就能自动终止Agent Tesla的运行，甚至还具备躲避虚拟机检测的能力。

必要时，Agent Tesla可以自我卸载，甚至禁用UAC、任务管理器、CMD、运行、控制面板、注册表、系统还原等核心Windows功能。

Zscaler表示已经向Diode反馈了这一情况，非法占用的域名当前已经下线。不过，依旧有部分黑客以每月9-30美元(约合人民币60-200元)的费用租用了Agent Tesla，预计其他黑客组织将来也会进行攻击部署。

下面这张从Agent Tesla网站摘取的图表，对其部分功能进行了介绍，比如说宣传Agent Tesla很稳定，支持所有Windows系统，还有安装过程很隐蔽等等，有没有感觉真的很好用?