Hackers Usando Malware Agent Tesla Atualizado Para Roubar Senhas de Wi-Fi

Pesquisadores de cibersegurança descobriram que o AgentTesla atualizado, um malware de coleta de informações, agora é capaz de roubar senhas de Wi-Fi de computadores comprometidos.

“AgentTesla é um infostealer baseado em .Net que tem a capacidade de roubar dados de diferentes aplicativos nas máquinas das vítimas, como navegadores, clientes FTP e gerenciadores de download de arquivos. O ator por trás desse malware está constantemente mantendo-o, adicionando novos módulos,” escreveu o pesquisador da Malwarebytes, Hossein Jazi, em um post no blog.

Para quem não sabe, o AgentTesla foi visto pela primeira vez em 2014 e tem sido frequentemente usado por cibercriminosos em várias campanhas maliciosas desde então. Durante os meses de março e abril de 2020, ele foi distribuído ativamente através de campanhas de spam em diferentes formatos, como arquivos ZIP, CAB, MSI, IMG e documentos do Office.

Também Leia - Melhores Ferramentas de Hacking de Wifi

As variantes mais recentes do AgentTesla vistas em ação têm a capacidade de coletar informações sobre o perfil de Wi-Fi de uma vítima.

A variante analisada pela Malwarebytes foi escrita em .Net e tem um executável embutido como um recurso de imagem, que é extraído e executado em tempo de execução. Este executável também possui um recurso criptografado. Após realizar várias verificações de anti-debugging, anti-sandboxing e anti-virtualização, o executável descriptografa e injeta o conteúdo do recurso em si mesmo.

O segundo payload é o componente principal do AgentTesla que rouba credenciais de navegadores, clientes FTP, perfis sem fio e mais. A amostra é fortemente ofuscada para dificultar a análise para os pesquisadores.

Para roubar credenciais de perfil de Wi-Fi, um novo processo “netsh” é criado passando “wlan show profile” como argumento.

“Os nomes de Wi-Fi disponíveis são então extraídos aplicando uma regex: “All User Profile : (?.)”, na saída stdout do processo,” explica Hossein.

Um comando é então executado para extrair as credenciais de cada perfil sem fio: “netsh wlan show profile PRPFILENAME key=clear”

Além dos perfis de Wi-Fi, o malware também pode coletar dados sobre o sistema alvo, incluindo clientes FTP, navegadores, gerenciadores de download de arquivos e informações da máquina (nome de usuário, nome do computador, nome do SO, arquitetura da CPU, RAM).

“Acreditamos que os atores de ameaça podem estar considerando usar o Wi-Fi como um mecanismo de propagação, semelhante ao que foi observado com o Emotet,” disse a Malwarebytes. “Outra possibilidade é usar o perfil de Wi-Fi para preparar o terreno para futuros ataques.”

AgentTesla não é o primeiro malware a ser atualizado para roubar senhas de Wi-Fi. Anteriormente, o infame malware Emotet foi usado para invadir redes Wi-Fi e infectar computadores conectados.

Não está claro por que o AgentTesla adicionou o recurso de roubo de Wi-Fi. De acordo com Hossein, os atores de ameaça podem estar considerando usar o Wi-Fi como um mecanismo de propagação, semelhante ao que foi observado com o Emotet. Outra possibilidade pode ser usar o perfil de Wi-Fi para preparar o terreno para futuros ataques.