Хакеры используют обновленный вредоносный ПО Agent Tesla для кражи паролей Wi-Fi

Исследователи в области кибербезопасности обнаружили, что обновленный AgentTesla, вредоносное ПО для сбора информации, теперь способно красть пароли Wi-Fi с компрометированных компьютеров.

“AgentTesla — это инфостилер на основе .Net, который имеет возможность красть данные из различных приложений на машинах жертв, таких как браузеры, FTP-клиенты и загрузчики файлов. Актер, стоящий за этим вредоносным ПО, постоянно поддерживает его, добавляя новые модули,” написал исследователь Malwarebytes Хосейн Джаци в блоге.

Для тех, кто не в курсе, AgentTesla впервые появился в 2014 году и с тех пор часто используется киберпреступниками в различных злонамеренных кампаниях. В течение марта и апреля 2020 года он активно распространялся через спам-кампании в различных форматах, таких как ZIP, CAB, MSI, IMG файлы и документы Office.

Также читайте - Лучшие инструменты для взлома Wi-Fi

Новые варианты AgentTesla, замеченные в дикой природе, имеют возможность собирать информацию о Wi-Fi профиле жертвы.

Вариант, проанализированный Malwarebytes, был написан на .Net и имеет исполняемый файл, встроенный в ресурс изображения, который извлекается и выполняется во время выполнения. Этот исполняемый файл также имеет зашифрованный ресурс. После выполнения нескольких проверок на антиотладку, антисандбоксинг и антивиртуализацию, исполняемый файл расшифровывает и инжектирует содержимое ресурса в себя.

Второй полезный нагрузкой является основной компонент AgentTesla, который крадет учетные данные из браузеров, FTP-клиентов, беспроводных профилей и многого другого. Образец сильно обфусцирован, чтобы усложнить анализ для исследователей.

Чтобы украсть учетные данные профиля Wi-Fi, создается новый процесс “netsh”, передавая “wlan show profile” в качестве аргумента.

“Доступные имена Wi-Fi затем извлекаются с помощью регулярного выражения: “All User Profile : (?.)”, на stdout выводе процесса,” объясняет Хосейн.

Затем выполняется команда для извлечения учетных данных каждого беспроводного профиля: “netsh wlan show profile PRPFILENAME key=clear”

В дополнение к профилям Wi-Fi, вредоносное ПО также может собирать данные о целевой системе, включая FTP-клиентов, браузеры, загрузчики файлов и информацию о машине (имя пользователя, имя компьютера, имя ОС, архитектура ЦП, ОЗУ).

“Мы считаем, что злоумышленники могут рассматривать возможность использования Wi-Fi как механизма распространения, аналогично тому, что наблюдалось с Emotet,” сказал Malwarebytes. “Еще одной возможностью является использование профиля Wi-Fi для подготовки почвы для будущих атак.”

AgentTesla не является первым вредоносным ПО, которое обновилось для кражи паролей Wi-Fi. Ранее печально известное вредоносное ПО Emotet использовалось для взлома Wi-Fi сетей с целью заражения подключенных компьютеров.

Неясно, почему AgentTesla добавил функцию кражи Wi-Fi. По словам Хосейна, злоумышленники могут рассматривать возможность использования Wi-Fi как механизма распространения, аналогично тому, что наблюдалось с Emotet. Еще одной возможностью может быть использование профиля Wi-Fi для подготовки почвы для будущих атак.