Hacker che utilizzano il malware Agent Tesla aggiornato per rubare le password Wi-Fi

I ricercatori di cybersecurity hanno scoperto che l’AgentTesla aggiornato, un malware di raccolta informazioni, è ora in grado di rubare le password Wi-Fi dai computer compromessi.

“AgentTesla è un infostealer basato su .Net che ha la capacità di rubare dati da diverse applicazioni sui computer delle vittime, come browser, client FTP e downloader di file. L’attore dietro questo malware lo mantiene costantemente aggiungendo nuovi moduli,” ha scritto il ricercatore di Malwarebytes Hossein Jazi in un post sul blog.

Per chi non lo sapesse, AgentTesla è stato visto per la prima volta nel 2014 ed è stato da allora frequentemente utilizzato dai criminali informatici in varie campagne malevole. Durante i mesi di marzo e aprile 2020, è stato attivamente distribuito attraverso campagne di spam in diversi formati, come file ZIP, CAB, MSI, IMG e documenti di Office.

Leggi anche - Migliori strumenti di hacking Wi-Fi

Le varianti più recenti di AgentTesla viste in natura hanno la capacità di raccogliere informazioni sul profilo Wi-Fi di una vittima.

La variante analizzata da Malwarebytes è stata scritta in .Net e ha un eseguibile incorporato come risorsa immagine, che viene estratto ed eseguito in fase di esecuzione. Questo eseguibile ha anche una risorsa crittografata. Dopo aver effettuato diversi controlli anti-debugging, anti-sandboxing e anti-virtualizzazione, l’eseguibile decrittografa e inietta il contenuto della risorsa in se stesso.

Il secondo payload è il componente principale di AgentTesla che ruba le credenziali da browser, client FTP, profili wireless e altro. Il campione è pesantemente offuscato per rendere l’analisi più difficile per i ricercatori.

Per rubare le credenziali del profilo Wi-Fi, viene creato un nuovo processo “netsh” passando “wlan show profile” come argomento.

“I nomi Wi-Fi disponibili vengono quindi estratti applicando una regex: “All User Profile : (?.)”, sull’output stdout del processo,” spiega Hossein.

Viene quindi eseguita un’istruzione per estrarre le credenziali di ciascun profilo wireless: “netsh wlan show profile PRPFILENAME key=clear”

Oltre ai profili Wi-Fi, il malware può anche raccogliere dati sul sistema target, inclusi client FTP, browser, downloader di file e informazioni sulla macchina (nome utente, nome computer, nome OS, architettura CPU, RAM).

“Crediamo che gli attori della minaccia possano considerare di utilizzare il Wi-Fi come meccanismo di diffusione, simile a quanto osservato con Emotet,” ha dichiarato Malwarebytes. “Un’altra possibilità è utilizzare il profilo Wi-Fi per preparare il terreno per attacchi futuri.”

AgentTesla non è il primo malware ad aggiornarsi per rubare le password Wi-Fi. In precedenza, il famigerato malware Emotet è stato utilizzato per hackerare reti Wi-Fi per infettare computer connessi.

Non è chiaro perché AgentTesla abbia aggiunto la funzione di furto Wi-Fi. Secondo Hossein, gli attori della minaccia potrebbero considerare di utilizzare il Wi-Fi come meccanismo di diffusione, simile a quanto osservato con Emotet. Un’altra possibilità potrebbe essere quella di utilizzare il profilo Wi-Fi per preparare il terreno per attacchi futuri.