Hacker verwenden aktualisierte Agent Tesla Malware, um Wi-Fi-Passwörter zu stehlen

Cybersecurity-Forscher haben entdeckt, dass die aktualisierte AgentTesla, eine Informationsbeschaffungs-Malware, jetzt in der Lage ist, Wi-Fi-Passwörter von kompromittierten Computern zu stehlen.

„AgentTesla ist ein .Net-basierter Infostealer, der die Fähigkeit hat, Daten aus verschiedenen Anwendungen auf den Maschinen der Opfer zu stehlen, wie z. B. Browser, FTP-Clients und Datei-Downloader. Der Akteur hinter dieser Malware wartet sie ständig, indem er neue Module hinzufügt“, schrieb der Malwarebytes-Forscher Hossein Jazi in einem Blogbeitrag.

Für diejenigen, die es nicht wissen, wurde AgentTesla erstmals 2014 gesehen und wird seitdem häufig von Cyberkriminellen in verschiedenen bösartigen Kampagnen verwendet. In den Monaten März und April 2020 wurde es aktiv durch Spam-Kampagnen in verschiedenen Formaten verteilt, wie z. B. ZIP, CAB, MSI, IMG-Dateien und Office-Dokumenten.

Auch lesen - Beste Wifi-Hacking-Tools

Neuere Varianten von AgentTesla, die in freier Wildbahn gesehen wurden, haben die Fähigkeit, Informationen über das Wi-Fi-Profil eines Opfers zu sammeln.

Die von Malwarebytes analysierte Variante wurde in .Net geschrieben und hat eine ausführbare Datei, die als Bildressource eingebettet ist, die zur Laufzeit extrahiert und ausgeführt wird. Diese ausführbare Datei hat auch eine verschlüsselte Ressource. Nach mehreren Anti-Debugging-, Anti-Sandboxing- und Anti-Virtualisierungsprüfungen entschlüsselt die ausführbare Datei den Inhalt der Ressource und injiziert ihn in sich selbst.

Die zweite Payload ist die Hauptkomponente von AgentTesla, die Anmeldeinformationen aus Browsern, FTP-Clients, drahtlosen Profilen und mehr stiehlt. Die Probe ist stark obfuskiert, um die Analyse für Forscher schwieriger zu machen.

Um die Anmeldeinformationen des Wi-Fi-Profils zu stehlen, wird ein neuer „netsh“-Prozess erstellt, indem „wlan show profile“ als Argument übergeben wird.

„Verfügbare Wi-Fi-Namen werden dann extrahiert, indem ein Regex angewendet wird: „All User Profile : (?.)“, auf die stdout-Ausgabe des Prozesses“, erklärt Hossein.

Ein Befehl wird dann ausgeführt, um die Anmeldeinformationen jedes drahtlosen Profils zu extrahieren: „netsh wlan show profile PRPFILENAME key=clear“.

Neben Wi-Fi-Profilen kann die Malware auch Daten über das Zielsystem sammeln, einschließlich FTP-Clients, Browser, Datei-Downloader und Maschineninformationen (Benutzername, Computername, OS-Name, CPU-Architektur, RAM).

„Wir glauben, dass die Bedrohungsakteure in Betracht ziehen könnten, Wi-Fi als Mechanismus zur Verbreitung zu verwenden, ähnlich wie es bei Emotet beobachtet wurde“, sagte Malwarebytes. „Eine weitere Möglichkeit besteht darin, das Wi-Fi-Profil zu nutzen, um die Bühne für zukünftige Angriffe zu bereiten.“

AgentTesla ist nicht die erste Malware, die aktualisiert wurde, um Wi-Fi-Passwörter zu stehlen. Zuvor wurde die berüchtigte Emotet-Malware verwendet, um in Wi-Fi-Netzwerke einzudringen und verbundene Computer zu infizieren.

Es ist unklar, warum AgentTesla die Funktion zum Stehlen von Wi-Fi hinzugefügt hat. Laut Hossein könnten die Bedrohungsakteure in Betracht ziehen, Wi-Fi als Mechanismus zur Verbreitung zu verwenden, ähnlich wie es bei Emotet beobachtet wurde. Eine weitere Möglichkeit könnte sein, das Wi-Fi-Profil zu nutzen, um die Bühne für zukünftige Angriffe zu bereiten.