Gli hacker utilizzano il malware aggiornato dell’agente Tesla per rubare le password Wi-Fi

I ricercatori della sicurezza informatica hanno scoperto che AgentTesla aggiornato, un malware per la raccolta di informazioni, è ora in grado di rubare le password Wi-Fi dai computer compromessi.

“AgentTesla è un infostealer basato su .Net che ha la capacità di rubare dati da diverse applicazioni sui computer delle vittime, come browser, client FTP e downloader di file. L’attore dietro questo malware ti obbliga ad aggiungere costantemente nuovi moduli “, ha scritto il ricercatore di Malwarebytes Hossein Jazi in a post sul blog.

Per chi non lo sapesse, AgentTesla è stato visto per la prima volta nel 2014 e da allora è stato utilizzato frequentemente dai criminali informatici in varie campagne dannose. Durante i mesi di marzo e aprile 2020, è stato distribuito attivamente attraverso campagne di spam in diversi formati, come ZIP, CAB, MSI, file IMG e documenti di Office.

Nuove varianti di AgentTesla visto in natura hanno la capacità di raccogliere informazioni sul profilo Wi-Fi di una vittima.

La variante analizzata da Malwarebytes è stata scritta in .Net e ha un eseguibile incorporato come risorsa immagine, che viene estratto ed eseguito in fase di runtime. Questo eseguibile ha anche una risorsa crittografata. Dopo aver eseguito vari controlli anti-debug, anti-sandboxing e anti-virtualizzazione, l’eseguibile decrittografa e inietta il contenuto della risorsa stessa.

Il secondo payload è il componente principale di AgentTesla che ruba le credenziali da browser, client FTP, profili wireless e altro. Il campione è troppo confuso per rendere difficile l’analisi per i ricercatori.

Per rubare le credenziali del profilo Wi-Fi, viene creato un nuovo processo “netsh” che passa “wlan show profile” come argomento.

leggere  Scienziati russi arrestati per aver estratto bitcoin in un impianto nucleare

“I nomi Wi-Fi disponibili vengono estratti applicando un’espressione regolare:” Tutti i profili utente *: (? . *) “, Sullo standard output del processo”, spiega Hossein.

Quindi viene eseguito un comando per estrarre le credenziali di ciascun profilo wireless: “netsh wlan show profile PRPFILENAME key = clear”

Oltre ai profili Wi-Fi, il malware può anche raccogliere dati sul sistema di destinazione, inclusi client FTP, browser, downloader di file e informazioni sulla macchina (nome utente, nome del computer, nome del sistema operativo, architettura della CPU, RAM).

“Riteniamo che gli autori delle minacce possano considerare l’uso del Wi-Fi come meccanismo di propagazione, simile a quanto osservato con Emotet”, ha affermato Malwarebytes. “Un’altra possibilità è quella di utilizzare il profilo Wi-Fi per preparare il terreno per futuri attacchi”.

AgentTesla non è il primo malware ad essere aggiornato per rubare le password Wi-Fi. In precedenza, il famigerato malware Emotet veniva utilizzato per hackerare le reti Wi-Fi per infettare i computer collegati.

Non è chiaro perché AgentTesla abbia aggiunto la funzionalità di furto Wi-Fi. Secondo Hossein, gli autori delle minacce potrebbero prendere in considerazione l’utilizzo del Wi-Fi come meccanismo di propagazione, simile a quanto osservato con Emotet. Un’altra possibilità potrebbe essere quella di utilizzare il profilo Wi-Fi per preparare il terreno a futuri attacchi.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *