众所周知，密码窃取者是使用恶意软件进行网络罪犯的。大多数时候，这些密码窃取者使用的是带有一个readme或者视频教程的包（builder+面板）。这些恶意软件旨在窃取各种软件的凭证，记录按键，抓取诸如钱包等敏感文件。

在2017年年底，我们发表了一篇文章，讨论了Agent Tesla的拆装和逆向工程。不过，在这篇博客文章中，我们将重点分析普通骗子用来传播Agent Tesla的基础设施。我们还将解释搜寻方法，以检索关于网络罪犯的信息。

AGENT TESLA

AGENT TESLA是一个提供了很多功能的著名的密码窃取软件。该恶意软件在野外被大量使用，原因是由于它的价格低廉（6个月只需49美元，见官方网站）以及友好的用户界面，使用该恶意软件的大部分是脚本小子。AGENT TESLA的建造者提供了三种类型的通信来过滤窃取到的凭证。分别是HTTP、SMTP和FTP（见下图）。

通过分析BreachFighter（我们的沙盒服务）中传入的样本，我们发现最常用的协议是HTTP，其次是SMTP。SMTP选项之所以被skids所喜爱，是因为你只需要一个可用的电子邮件地址——而不需要服务器、配置等等。该特性的缺点是如果你有样本，就可以访问邮件帐户。出于这个原因，我们将在本文中重点讨论SMTP版本。

在对新Agent Tesla样本研究中我们发现了8674a053118790bc1bb11d188f517c95c2a5471ce2eca36129296f4783015bb8目前很活跃。我们分析了这个样本，因为它使用了SMTP，并且使用该样本的网络诈骗者被自己愚弄了。所以这种感染可以让我们更好地了解那些网络诈骗者使用的基础设施。

信息收集

在本节中，我们将讨论如何检索关于网络诈骗者的信息，以帮助我们理解用于传播恶意软件的基础设施。

HYBRID-ANALYSIS(混合–分析)

通过混合分析样本中PCAP的SMTP流量，我们可以找到在base64中编码的凭据（如下图所示）和SMTP服务器。在对这些字符串进行解码后，我们获得了以下的证书登录:[email protected]密码:kelvin123456。

挖掘邮件

在获得证书后，我们发现了一些Agent Tesla捕捉到的网络诈骗者的截屏。正如我们在下面所看到的，桌面上有一些恶意软件（HawkEye和NanoCore），但也有一些垃圾邮件制作者使用的工具，如Turbo Mailer。

另一个截图显示了HawkEye建立者还有一个与blessed2018.com相关的邮件帐户。在分析时，Skype会话中给出的密码是错误的。但是，通过一些极其复杂的猜测（xD），我们找到了密码是eris123456。

我们还可以看到，所有发送到[email protected]的邮件都被转发到[email protected]。

跟大多数网络诈骗者一样，他们与Skype或Jabber通信。下面是用“英语”与另一个网络诈骗者的讨论。

为了发送垃圾邮件，他们使用了通过Agent Tesla检索取得窃取的凭证。在某些情况下（不是这种情况），我们也发现在像olux.to（关于这个网站的推文）、toolsbase.ws和 spammer.ro这样的网站上购买证书、Cpanel、RDP和电子邮件的网络诈骗者。下面是一个带有被盗证书的记事本，用来发送恶意软件。

为了找到目标，他们使用了一个名为“Email Extractor Pro”的工具。这个软件允许从不同的来源提取电子邮件，例如：文件，网站，搜索引擎等等。下面我们可以看到电子邮件提取器的作用。

然后，清理目标邮件列表，并使用网站邮件提取器Lite 1.4将它们分成大块。下面的截图显示，网络诈骗者想要清除用逗号分隔的91.790个邮件，然后将它们分成500份。

在调查过程中，我们看到他们使用了两种发送垃圾邮件的方法。一种是通过网络邮件“手动”发送电子邮件（见下面的第一个截图）。另一种技术是使用工具Turbo-Mailer （我们忘记了截图），这是一款发送大量邮件的程序。

这些行动者通过邮件发送简单的网络钓鱼，但在其他情况下，我们也看到一些恶意软件是通过LinkedIn传播的（见下面的例子）。

正如我们在不同的截图中看到的，网络诈骗者通过RDP使用Windows服务器。使用该Windows服务器的目的主要是使用Email Extractor(电子邮件提取器)和Turbo Mailer。也许是用于带宽。通过挖掘邮件，我们发现了一个带有IP的截图和上述服务器一个有效的用户名（见下图）。

在bot主人的邮件中，我们找到了一个奇怪的字符串，它总是在一个长长的电子邮件地址列表的开头。这个字符串看起来像随机生成的Mono)Uq#4n%o7。因此，我们猜测这是Windows服务器的密码，而地址列表被提供给了Turbo-Mailer。正如我们期望的，它是正确的密码，我们可以登录。在服务器上，我们搜索了浏览器的历史，我们发现了很多与google域名的连接。我们还发现了网络诈骗者使用的新邮件地址（见下面的截图）。

总结

在本文分析中，我们看到了网络诈骗者如何组织自己去寻找目标、发送垃圾邮件以及检索已窃取的数据。我们可以总结以下几点：

· 将Agent Tesla邮件转发给其他网络诈骗者

· 使用Skype进行通信

· 使用窃取的证书发送垃圾邮件

· 使用电子邮件提取器来获取新的电子邮件地址

· 使用Lite 1.4分离/提取邮件

· 手动发送或通过Turbo Mailer发送垃圾邮件

· 使用恶意软件发送垃圾邮件

这篇文章呈现的并不是一个非凡的APTs，而是一个偶然的恶意软件，并且是一个每天感染上千受害者的网络诈骗软件。如果你想了解更多关于那些普通的网络诈骗软件的信息，强烈推荐@ss55752750 twitter账号。

有趣的部分

在这一节中，我们将会看到追踪这一活动背后的网络诈骗者是多么容易。首先，在Agent Tesla邮件账户中，我们发现了一些网络诈骗者（试图了解如何删除AT）的某个网络摄像头（见下图）。

我们还发现了他在Badoo和Facebook上冲浪的截图。

最后，利用上面的信息，我们找到了他的Facebook个人资料。他主页上的信息似乎与他朋友的地理位置一致。

IOCs