新加坡电信发现Windows镜像文件格式WIM.001是Tesla.WIM

为了逃避电子邮件保护系统的检测，攻击者还尝试在钓鱼电子邮件的附件上使用相对罕见的文件格式w7镜像文件是什么意思，以逃避检查。新加坡电信（Singtel）旗下的安全公司Trustwave近日发现，在攻击者发送的钓鱼邮件中，使用了Windows镜像文件格式WIM（Windows Image Format）作为附件文件的格式，传播了全球首例钓鱼邮件。 2020 年下半年。3 大恶意软件 Agent Tesla。

这种不常见的附件文件格式的使用并不是第一次。过去攻击者滥用网络钓鱼电子邮件的文件格式是 CD 映像文件，包括 ISO、IMG 和 DAA（直接访问存档）格式。

但与上述CD镜像文件格式不同的是，WIM是微软自Windows Vista以来的，旨在封装Windows操作系统的安装文件供网络管理员部署和使用，可以通过多种压缩软件和CD访问图像软件，如7Zip、PowerISO、PeaZip等。

然而，Trustwave 研究人员指出，他们最近发现了带有这种格式附件的网络钓鱼电子邮件。攻击者冒充 DHL、Alphatrans 和其他航运公司发送发票或托运单来传播此钓鱼邮件。

根据Trustwave提供的钓鱼邮件截图，攻击者附加的附件文件扩展名为.WIM.001。该公司表示，这代表了大型 WIM 文件的第一部分，这是一种类似于压缩文件的拆分文件做法。然而，Trustwave使用微软推出的WIM文件编辑工具ImageX对WIM进行访问和分析，发现它实际上是一个结构完整的WIM独立文件，没有经过压缩，也没有其他分割文件。

接下来，研究人员用十六进制编辑器打开了附件，他们发现 WIM 文件隐藏了一个具有相同文件名的 EXE 可执行文件。Trustwave 指出，他们看到的所有 WIM 附件都包含臭名昭著的 RAT 木马程序 Agent Tesla，该恶意程序是用 .NET 编写的，一旦触发，它将完全控制受害计算机并通过各种渠道泄露数据，包括 HTTP、 SMTP、FTP等通信协议w7镜像文件是什么意思，以及即时通讯软件Telegram等。利用上述通信协议和Telegram泄露数据的能力，也与Sophos公开的Agent Tesla version 2和version 3相同。今年二月。

为什么攻击者会传播恶意软件 Agent Tesla？自 2014 年以来一直存在的这种木马被攻击者用来窃取受害者计算机的机密，通常使用网络钓鱼电子邮件作为渗透渠道。特工Tesla具备上述泄密能力后，攻击者就无法通过邮件接收文件，可以降低身份暴露的几率。

使用 WIM 文件配合作案工具，Trustwave 认为，这种策略不同于上述 CD 映像文件格式，大多数 Windows 电脑可以通过内置的虚拟 CD 挂载功能直接访问，但该功能不支持WIM 文件格式，很难知道内容是否有害。该公司表示，由于这种格式的附件并不常见，网络管理员可以考虑阻止它们以应对相关攻击。