アップグレードされたエージェントテスラマルウェアを使用してWi-Fiパスワードを盗むハッカー

サイバーセキュリティ研究者は、情報収集マルウェアであるアップグレードされたエージェントテスラが、侵害されたコンピュータからWi-Fiパスワードを盗む能力を持つことを発見しました。

「エージェントテスラは、被害者のマシン上の異なるアプリケーションからデータを盗む能力を持つ.NETベースのインフォスティーラーです。マルウェアの背後にいるアクターは、新しいモジュールを追加することで常にそれを維持しています」と、Malwarebytesの研究者ホセイン・ジャジはブログ投稿で述べています。

知らない方のために、エージェントテスラは2014年に初めて見られ、それ以来、さまざまな悪意のあるキャンペーンでサイバー犯罪者によって頻繁に使用されています。2020年の3月と4月の間に、ZIP、CAB、MSI、IMGファイル、Office文書などの異なる形式でスパムキャンペーンを通じて積極的に配布されました。

また読む - 最良のWi-Fiハッキングツール

野生で見られる新しいバリアントのエージェントテスラは、被害者のWi-Fiプロファイルに関する情報を収集する能力を持っています。

Malwarebytesによって分析されたバリアントは.NETで書かれており、実行時に抽出されて実行される画像リソースとして埋め込まれた実行可能ファイルを持っています。この実行可能ファイルには暗号化されたリソースも含まれています。いくつかのアンチデバッグ、アンチサンドボックス、アンチ仮想化チェックを行った後、実行可能ファイルはリソースの内容を自分自身に復号化して注入します。

2番目のペイロードは、ブラウザ、FTPクライアント、ワイヤレスプロファイルなどから資格情報を盗むエージェントテスラの主要コンポーネントです。このサンプルは、研究者による分析をより困難にするために大幅に難読化されています。

Wi-Fiプロファイルの資格情報を盗むために、「netsh」プロセスが「wlan show profile」を引数として渡すことによって作成されます。

「利用可能なWi-Fi名は、プロセスのstdout出力に対して正規表現「All User Profile : (?.)」を適用することによって抽出されます」とホセインは説明します。

次に、各ワイヤレスプロファイルの資格情報を抽出するためにコマンドが実行されます：「netsh wlan show profile PRPFILENAME key=clear」

Wi-Fiプロファイルに加えて、マルウェアはFTPクライアント、ブラウザ、ファイルダウンローダー、マシン情報（ユーザー名、コンピュータ名、OS名、CPUアーキテクチャ、RAM）を含むターゲットシステムに関するデータも収集できます。

「私たちは、脅威アクターがEmotetで観察されたように、Wi-Fiを拡散のメカニズムとして使用することを検討している可能性があると考えています」とMalwarebytesは述べています。「もう一つの可能性は、Wi-Fiプロファイルを使用して将来の攻撃の舞台を整えることです。」

エージェントテスラはWi-Fiパスワードを盗むために更新された最初のマルウェアではありません。以前、悪名高いEmotetマルウェアは、Wi-Fiネットワークに侵入して接続されたコンピュータを感染させるために使用されていました。

エージェントテスラがWi-Fi盗難機能を追加した理由は明確ではありません。ホセインによると、脅威アクターはEmotetで観察されたように、Wi-Fiを拡散のメカニズムとして使用することを検討している可能性があります。もう一つの可能性は、Wi-Fiプロファイルを使用して将来の攻撃の舞台を整えることです。