文章总结： 本文分析了一起传播AgentTesla恶意软件的网络钓鱼攻击活动。攻击者利用商业主题钓鱼邮件、混淆脚本及进程空洞化技术，实现无文件内存执行以绕过检测。该恶意软件具备反分析能力，能窃取浏览器凭证等敏感数据。建议安全团队阻止脚本附件、限制PowerShell执行、监控SMTP流量并部署具备内存检测能力的端点工具。 综合评分： 87 文章分类： 恶意软件,威胁情报,漏洞分析,应急响应

Tesla网络钓鱼攻击活动利用流程空心化和反分析技术逃避检测

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月27日 07:59 北京

最新发现的网络钓鱼活动正在通过多阶段攻击链传播 Agent Tesla，这是最广泛使用的凭证窃取恶意软件家族之一，几乎不会在受害者的计算机上留下任何痕迹。

该攻击活动利用商业主题的网络钓鱼邮件、混淆脚本和内存执行技术，悄无声息地从 Windows 用户那里窃取敏感数据。

由于该恶意软件能够完全在内存中运行并绕过安全工具，此次攻击活动表明，市面上出售的恶意软件在熟练人员手中可以构成多么严重的威胁。

Agent Tesla 自 2014 年以来一直很活跃，并且由于其恶意软件即服务 (MaaS) 模型，它仍然是网络犯罪分子的主要攻击手段，即使是技能较低的攻击者也可以部署它，而无需从头开始构建任何东西。

它会窃取浏览器凭证、捕获键盘输入、提取电子邮件帐户详细信息，并将这些数据悄无声息地发送到攻击者控制的服务器。尽管它已广为人知，但仍在不断更新其攻击方式，以绕过传统的防御措施。

Fortinet 的研究人员发现了这一最新攻击活动，并指出，使其特别危险的不是恶意软件本身，而是为传播该恶意软件而构建的多层管道。

攻击链会经过多个阶段，每个阶段都旨在绕过不同环节的检测——从第一封钓鱼邮件到最终完全在内存中运行的有效载荷。

这种程度的策划表明攻击者了解终端安全工具的工作原理，并精心构建了绕过这些工具的攻击链。

该攻击活动以一封伪装成商业咨询的钓鱼邮件开始，邮件主题类似于“新采购订单 PO0172”。附件是一个压缩的 RAR 文件 (PO0172.rar)，其中包含一个混淆的 JScript编码文件 (PO0172.jse)。

使用 .jse 文件而非可执行文件是故意的——大多数电子邮件过滤器会阻止 .exe 或 .bat 文件，但允许脚本文件通过。一旦打开，攻击就会自动进行，无需受害者进行任何进一步操作。

被盗数据最终通过 SMTP 协议发送到攻击者的命令与控制服务器 mail[.]taikei-rmc-co[.]biz，传输路径如下：电子邮件 → RAR 附件 → JScript 加载器 (.jse) → PowerShell（已下载） → PowerShell（内存中） → .NET 加载器（内存中） → .NET Agent Tesla 有效载荷（内存中）。

攻击内部：内存执行与规避

这次攻击活动最精妙之处在于，它无需向磁盘写入任何内容，就能从一个简单的脚本过渡到一个可运行的有效载荷。

JSE 文件运行后，它会联系 catbox[.]moe 并获取一个加密的PowerShell 脚本，该脚本使用名为 Invoke-AESDecryption 的自定义 AES-CBC 解密函数，并采用 PKCS7 填充，直接在内存中解包下一阶段。

由于攻击完全在内存中进行，因此不会留下任何安全工具可以扫描的文件。

第二阶段 PowerShell 脚本对 aspnet_compiler.exe（位于 C:\Windows\Microsoft.NET\Framework\v4.0.30319 的受信任的 Windows .NET 实用程序）执行进程空洞化。

它会以挂起状态启动该进程，清除其内存，并将 Agent Tesla 有效载荷注入到该位置。由于该恶意软件以受信任的进程名称运行，因此基于特征码的工具不会将其标记出来。

在收集数据之前，Tesla Agent 会检查其环境以确认自身未被分析。它会查询 WMI 以检测 VMware、VirtualBox 或 Hyper-V，并查找类似 snxhk.dll（Avast）、SbieDll.dll（Sandboxie）和 cmdvrt32.dll（Comodo）的 DLL 文件。

如果被发现，它可能会完全关闭以隐藏其基础设施。一旦目标被清除，它就会收集浏览器 cookie、已保存的凭据和联系人信息，并将它们打包成文本文件，通过 SMTP 协议发送出去。

安全团队应在网关处阻止基于脚本的电子邮件附件（例如 .jse 和 .js 文件），并通过策略强制执行 PowerShell 执行限制。

能够检测基于内存的注入和进程空洞化的端点工具对于捕获那些避免磁盘写入的威胁至关重要。应监控出站 SMTP 流量，以发现主动数据泄露的迹象。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Tesla网络钓鱼攻击活动利用流程空心化和反分析技术逃避检测》