Des hackers utilisent un malware Agent Tesla amélioré pour voler des mots de passe Wi-Fi

Des chercheurs en cybersécurité ont découvert que l’AgentTesla amélioré, un malware de collecte d’informations, est désormais capable de voler des mots de passe Wi-Fi à partir d’ordinateurs compromis.

« AgentTesla est un infostealer basé sur .Net qui a la capacité de voler des données de différentes applications sur les machines victimes, telles que les navigateurs, les clients FTP et les téléchargeurs de fichiers. L’acteur derrière ce malware le maintient constamment en ajoutant de nouveaux modules », a écrit le chercheur de Malwarebytes, Hossein Jazi, dans un article de blog.

Pour ceux qui ne le savent pas, AgentTesla a été vu pour la première fois en 2014 et a depuis été fréquemment utilisé par des cybercriminels dans diverses campagnes malveillantes. Au cours des mois de mars et avril 2020, il a été activement distribué par le biais de campagnes de spam sous différents formats, tels que des fichiers ZIP, CAB, MSI, IMG et des documents Office.

Lire aussi - Meilleurs outils de piratage Wi-Fi

Les variantes plus récentes d’AgentTesla observées dans la nature ont la capacité de collecter des informations sur le profil Wi-Fi d’une victime.

La variante analysée par Malwarebytes a été écrite en .Net et possède un exécutable intégré en tant que ressource image, qui est extrait et exécuté à l’exécution. Cet exécutable a également une ressource cryptée. Après avoir effectué plusieurs vérifications anti-debugging, anti-sandboxing et anti-virtualisation, l’exécutable déchiffre et injecte le contenu de la ressource en lui-même.

Le deuxième payload est le composant principal d’AgentTesla qui vole les identifiants des navigateurs, des clients FTP, des profils sans fil, et plus encore. L’échantillon est fortement obfusqué pour rendre l’analyse plus difficile pour les chercheurs.

Pour voler les identifiants du profil Wi-Fi, un nouveau processus « netsh » est créé en passant « wlan show profile » comme argument.

« Les noms Wi-Fi disponibles sont ensuite extraits en appliquant une regex : “All User Profile : (?.)”, sur la sortie stdout du processus », explique Hossein.

Une commande est ensuite exécutée pour extraire les identifiants de chaque profil sans fil : « netsh wlan show profile PRPFILENAME key=clear »

En plus des profils Wi-Fi, le malware peut également collecter des données sur le système cible, y compris les clients FTP, les navigateurs, les téléchargeurs de fichiers et les informations sur la machine (nom d’utilisateur, nom de l’ordinateur, nom du système d’exploitation, architecture CPU, RAM).

« Nous croyons que les acteurs de la menace pourraient envisager d’utiliser le Wi-Fi comme un mécanisme de propagation, similaire à ce qui a été observé avec Emotet », a déclaré Malwarebytes. « Une autre possibilité est d’utiliser le profil Wi-Fi pour préparer le terrain pour de futures attaques. »

AgentTesla n’est pas le premier malware à se mettre à jour pour voler des mots de passe Wi-Fi. Auparavant, le célèbre malware Emotet a été utilisé pour pirater des réseaux Wi-Fi afin d’infecter les ordinateurs connectés.

Il n’est pas clair pourquoi AgentTesla a ajouté la fonctionnalité de vol de Wi-Fi. Selon Hossein, les acteurs de la menace pourraient envisager d’utiliser le Wi-Fi comme un mécanisme de propagation, similaire à ce qui a été observé avec Emotet. Une autre possibilité pourrait être d’utiliser le profil Wi-Fi pour préparer le terrain pour de futures attaques.