Os pesquisadores de segurança cibernética descobriram que o AgentTesla atualizado, um malware que coleta informações, agora é capaz de roubar senhas de Wi-Fi de computadores comprometidos.
“AgentTesla é um infostealer baseado em .Net que tem a capacidade de roubar dados de diferentes aplicativos nas máquinas das vítimas, como navegadores, clientes FTP e downloaders de arquivos. O ator por trás desse malware está constantemente fazendo sua manutenção com a adição de novos módulos ”, escreveu o pesquisador Hossein Jazi do Malwarebytes em uma postagem de blog.
Para quem não sabe, o AgentTesla foi visto pela primeira vez em 2014 e, desde então, tem sido frequentemente usado por cibercriminosos em várias campanhas maliciosas. Durante os meses de março e abril de 2020, foi ativamente distribuído por meio de campanhas de spam em diversos formatos, como ZIP, CAB, MSI, arquivos IMG e documentos do Office.
Leia também – Melhores ferramentas de hacking wi-fi
Variantes mais recentes do AgentTesla vistas em liberdade têm a capacidade de coletar informações sobre o perfil Wi-Fi da vítima.
A variante analisada pelo Malwarebytes foi escrita em .Net e possui um executável embutido como recurso de imagem, que é extraído e executado em tempo de execução. Este executável também possui um recurso criptografado. Depois de fazer várias verificações de anti-depuração, anti-sandbox e anti-virtualização, o executável descriptografa e injeta o conteúdo do recurso em si mesmo.
A segunda carga útil é o principal componente do AgentTesla que rouba credenciais de navegadores, clientes FTP, perfis sem fio e muito mais. A amostra é fortemente ofuscada para tornar a análise mais difícil para os pesquisadores.
Para roubar credenciais de perfil Wi-Fi, um novo processo “netsh” é criado passando “wlan show profile” como argumento.
“Os nomes de Wi-Fi disponíveis são extraídos aplicando um regex:“ All User Profile *: (?
Um comando é então executado para extrair as credenciais de cada perfil sem fio: “netsh wlan show profile PRPFILENAME key = clear”
Além dos perfis de Wi-Fi, o malware também pode coletar dados sobre o sistema de destino, incluindo clientes FTP, navegadores, downloaders de arquivos e informações da máquina (nome de usuário, nome do computador, nome do sistema operacional, arquitetura de CPU, RAM).
“Acreditamos que os atores da ameaça podem estar considerando o uso de Wi-Fi como um mecanismo de disseminação, semelhante ao que foi observado com o Emotet”, disse Malwarebytes. “Outra possibilidade é usar o perfil Wi-Fi para preparar o terreno para ataques futuros.”
O AgentTesla não é o primeiro malware a ser atualizado para roubar senhas de wi-fi. Anteriormente, o infame malware Emotet era usado para invadir redes Wi-Fi para infectar computadores conectados.
Não está claro por que o AgentTesla adicionou o recurso de roubo de Wi-Fi. De acordo com Hossein, os atores da ameaça podem estar considerando o uso de wi-fi como mecanismo de disseminação, semelhante ao que foi observado com o Emotet. Outra possibilidade seria usar o perfil Wi-Fi para preparar o terreno para ataques futuros.
