サイバーセキュリティ研究者は、情報収集マルウェアであるアップグレードされた AgentTesla が、侵害されたコンピュータから Wi-Fi パスワードを盗むことができるようになったことを発見しました。
「AgentTesla は、ブラウザ、FTP クライアント、ファイル ダウンローダーなど、被害者のマシン上のさまざまなアプリケーションからデータを盗む機能を備えた .Net ベースの情報窃取者です。このマルウェアの背後にいる攻撃者は、新しいモジュールを追加することで常にマルウェアを維持しています」と Malwarebytes の研究者である Hossein Jazi 氏は次のように書いています。ブログ投稿。
知らない人のために説明すると、AgentTesla は 2014 年に初めて確認され、それ以来、さまざまな悪意のあるキャンペーンでサイバー犯罪者によって頻繁に使用されてきました。 2020 年 3 月から 4 月にかけて、ZIP、CAB、MSI、IMG ファイル、Office ドキュメントなどのさまざまな形式でスパム キャンペーンを通じて活発に配布されました。
こちらもお読みください-最高の Wifi ハッキング ツール
AgentTesla の新しい亜種野生で見られる被害者の Wi-Fi プロファイルに関する情報を収集する機能を持っています。
Malwarebytes によって分析された亜種は .Net で書かれており、画像リソースとして実行可能ファイルが埋め込まれており、実行時に抽出されて実行されます。この実行可能ファイルには暗号化されたリソースも含まれています。いくつかのアンチデバッグ、アンチサンドボックス、およびアンチ仮想化チェックを行った後、実行可能ファイルは復号化され、リソースのコンテンツをそれ自体に挿入します。
2 番目のペイロードは、ブラウザ、FTP クライアント、ワイヤレス プロファイルなどから認証情報を盗む AgentTesla の主要コンポーネントです。研究者にとって分析がより困難になるように、サンプルは高度に難読化されています。
Wi-Fi プロファイルの認証情報を盗むために、「wlan show profile」を引数として渡すことによって、新しい「netsh」プロセスが作成されます。
「次に、利用可能な Wi-Fi 名が正規表現を適用して抽出されます。「すべてのユーザー プロファイル * : (?<profile> .*)”、プロセスの標準出力出力に表示されます」と Hossein 氏は説明します。
次に、各ワイヤレス プロファイルの認証情報を抽出するコマンド「netsh wlan show profile PRPFILENAME key=clear」が実行されます。
Wi-Fi プロファイルに加えて、マルウェアは、FTP クライアント、ブラウザ、ファイル ダウンローダー、マシン情報 (ユーザー名、コンピュータ名、OS 名、CPU アーキテクチャ、RAM) などのターゲット システムに関するデータも収集します。
「攻撃者は、Emotet で観察されたのと同様に、拡散メカニズムとして Wi-Fi の使用を検討している可能性があると考えています」と Malwarebytes は述べています。 「もう 1 つの可能性は、Wi-Fi プロファイルを使用して将来の攻撃の準備を整えることです。」
AgentTesla は、Wi-Fi パスワードを盗むためにアップデートされた最初のマルウェアではありません。以前は、悪名高い Emotet マルウェアが次の目的で使用されていました。Wi-Fiネットワークにハッキングする接続されているコンピュータに感染します。
AgentTesla が Wi-Fi 盗用機能を追加した理由は不明です。ホセイン氏によると、脅威アクターは、以前と同様の拡散メカニズムとして Wi-Fi の使用を検討している可能性があります。で観察された感情。もう 1 つの可能性は、Wi-Fi プロファイルを使用して将来の攻撃の準備を整えることです。
