업그레이드된 에이전트 테슬라 악성코드를 사용하는 해커들, Wi-Fi 비밀번호 탈취

사이버 보안 연구원들은 정보 수집 악성코드인 업그레이드된 에이전트 테슬라가 손상된 컴퓨터에서 Wi-Fi 비밀번호를 탈취할 수 있는 능력을 갖추게 되었다고 발견했습니다.

“에이전트 테슬라는 .Net 기반의 정보 탈취기로, 피해자의 기기에서 브라우저, FTP 클라이언트 및 파일 다운로드 프로그램과 같은 다양한 애플리케이션에서 데이터를 탈취할 수 있는 능력을 가지고 있습니다. 이 악성코드의 제작자는 새로운 모듈을 추가하여 지속적으로 유지 관리하고 있습니다.”라고 Malwarebytes 연구원 Hossein Jazi가 블로그 게시물에서 썼습니다.

잘 모르는 분들을 위해, 에이전트 테슬라는 2014년에 처음 발견되었으며, 이후로 사이버 범죄자들에 의해 다양한 악의적인 캠페인에서 자주 사용되고 있습니다. 2020년 3월과 4월 동안, ZIP, CAB, MSI, IMG 파일 및 Office 문서와 같은 다양한 형식의 스팸 캠페인을 통해 활발히 배포되었습니다.

또한 읽어보세요 - 최고의 Wi-Fi 해킹 도구

자연에서 발견된 최신 변종 에이전트 테슬라는 피해자의 Wi-Fi 프로필에 대한 정보를 수집할 수 있는 능력을 가지고 있습니다.

Malwarebytes에서 분석한 변종은 .Net으로 작성되었으며, 이미지 리소스로 내장된 실행 파일이 있어 런타임에 추출 및 실행됩니다. 이 실행 파일은 또한 암호화된 리소스를 가지고 있습니다. 여러 가지 안티 디버깅, 안티 샌드박스, 안티 가상화 검사를 수행한 후, 실행 파일은 리소스의 내용을 자신에게 복호화하고 주입합니다.

두 번째 페이로드는 브라우저, FTP 클라이언트, 무선 프로필 등에서 자격 증명을 탈취하는 에이전트 테슬라의 주요 구성 요소입니다. 샘플은 연구자들이 분석하기 더 어렵도록 심하게 난독화되어 있습니다.

Wi-Fi 프로필 자격 증명을 탈취하기 위해, “wlan show profile”을 인수로 전달하여 새로운 “netsh” 프로세스가 생성됩니다.

“사용 가능한 Wi-Fi 이름은 프로세스의 stdout 출력에 대해 regex: “All User Profile : (?.)”를 적용하여 추출됩니다.”라고 Hossein이 설명합니다.

각 무선 프로필의 자격 증명을 추출하기 위해 명령이 실행됩니다: “netsh wlan show profile PRPFILENAME key=clear”

Wi-Fi 프로필 외에도, 이 악성코드는 FTP 클라이언트, 브라우저, 파일 다운로드 프로그램 및 시스템 정보(사용자 이름, 컴퓨터 이름, OS 이름, CPU 아키텍처, RAM)에 대한 데이터를 수집할 수 있습니다.

“우리는 위협 행위자들이 Emotet에서 관찰된 것과 유사하게 Wi-Fi를 확산 메커니즘으로 사용할 것을 고려하고 있을 수 있다고 믿습니다.”라고 Malwarebytes가 말했습니다. “또 다른 가능성은 Wi-Fi 프로필을 사용하여 향후 공격을 위한 무대를 설정하는 것입니다.”

에이전트 테슬라는 Wi-Fi 비밀번호를 탈취하기 위해 업데이트된 첫 번째 악성코드가 아닙니다. 이전에 악명 높은 Emotet 악성코드는 Wi-Fi 네트워크에 해킹하여 연결된 컴퓨터를 감염시키는 데 사용되었습니다.

에이전트 테슬라가 Wi-Fi 탈취 기능을 추가한 이유는 명확하지 않습니다. Hossein에 따르면, 위협 행위자들은 Emotet에서 관찰된 것과 유사하게 Wi-Fi를 확산 메커니즘으로 사용할 것을 고려하고 있을 수 있습니다. 또 다른 가능성은 Wi-Fi 프로필을 사용하여 향후 공격을 위한 무대를 설정하는 것입니다.