Los hackers utilizan el malware Agent Tesla mejorado para robar contraseñas de Wi-Fi

Los investigadores en ciberseguridad han descubierto que el AgentTesla mejorado, un malware de recopilación de información, ahora es capaz de robar contraseñas de Wi-Fi de computadoras comprometidas.

“AgentTesla es un infostealer basado en .Net que tiene la capacidad de robar datos de diferentes aplicaciones en las máquinas de las víctimas, como navegadores, clientes FTP y descargadores de archivos. El actor detrás de este malware lo mantiene constantemente añadiendo nuevos módulos”, escribió el investigador de Malwarebytes, Hossein Jazi, en una publicación de blog.

Para aquellos que no lo sepan, AgentTesla fue visto por primera vez en 2014, y desde entonces ha sido utilizado frecuentemente por cibercriminales en varias campañas maliciosas. Durante los meses de marzo y abril de 2020, se distribuyó activamente a través de campañas de spam en diferentes formatos, como archivos ZIP, CAB, MSI, IMG y documentos de Office.

También lee - Mejores herramientas para hackear Wi-Fi

Las variantes más nuevas de AgentTesla vistas en la naturaleza tienen la capacidad de recopilar información sobre el perfil de Wi-Fi de una víctima.

La variante analizada por Malwarebytes fue escrita en .Net y tiene un ejecutable incrustado como recurso de imagen, que se extrae y se ejecuta en tiempo de ejecución. Este ejecutable también tiene un recurso cifrado. Después de realizar varias comprobaciones de anti-depuración, anti-sandboxing y anti-virtualización, el ejecutable descifra e inyecta el contenido del recurso en sí mismo.

La segunda carga útil es el componente principal de AgentTesla que roba credenciales de navegadores, clientes FTP, perfiles inalámbricos y más. La muestra está fuertemente ofuscada para dificultar el análisis de los investigadores.

Para robar credenciales del perfil de Wi-Fi, se crea un nuevo proceso “netsh” pasando “wlan show profile” como argumento.

“Los nombres de Wi-Fi disponibles se extraen aplicando una expresión regular: “All User Profile : (?.)”, en la salida stdout del proceso”, explica Hossein.

Luego se ejecuta un comando para extraer las credenciales de cada perfil inalámbrico: “netsh wlan show profile PRPFILENAME key=clear”

Además de los perfiles de Wi-Fi, el malware también puede recopilar datos sobre el sistema objetivo, incluidos clientes FTP, navegadores, descargadores de archivos e información de la máquina (nombre de usuario, nombre de la computadora, nombre del sistema operativo, arquitectura de la CPU, RAM).

“Creemos que los actores de la amenaza pueden estar considerando usar Wi-Fi como un mecanismo de propagación, similar a lo que se observó con Emotet”, dijo Malwarebytes. “Otra posibilidad es usar el perfil de Wi-Fi para preparar el terreno para futuros ataques.”

AgentTesla no es el primer malware en actualizarse para robar contraseñas de Wi-Fi. Anteriormente, el infame malware Emotet se utilizó para hackear redes Wi-Fi y infectar computadoras conectadas.

No está claro por qué AgentTesla agregó la función de robo de Wi-Fi. Según Hossein, los actores de la amenaza pueden estar considerando usar Wi-Fi como un mecanismo de propagación, similar a lo que se observó con Emotet. Otra posibilidad podría ser usar el perfil de Wi-Fi para preparar el terreno para futuros ataques.