Un ladrón de información (infostealer) es un tipo de malware que está enfocado en reunir información sensible de un sistema comprometido, con el fin de extraerla sin autorización. Dicha información comúnmente suelen ser credenciales de usuario, aunque se han conocido casos en que también buscan información financiera y personal.
AgentTesla es un infostealer visto por primera vez en el año 2014, que tiene la capacidad de robar datos de diferentes aplicaciones en las máquinas de las víctimas, como navegadores, clientes File Transfer Protocol (FTP) y descargadores de archivos. El desarrollador detrás de este malware está constantemente agregando nuevos módulos, donde ahora se agrega otro nuevo módulo a su catálogo, el cual agrega la capacidad de robar perfiles Wi-Fi.
Durante el mes de Marzo y Abril se ha detectado varias campañas de Spam para distribuir el malware en diferentes formatos de archivos, como .ZIP, .CAB, .MSI, .IMG y documentos Microsoft Office. En ellas un grupo de investigadores descubrió una nueva variante de AgentTesla con la capacidad de recolectar información de los perfiles Wi-Fi de las víctimas.
El malware analizado por los expertos está escrito en .NET compuesto de un ejecutable incrustado como una imagen, que es extraída y lanzada en tiempo tiempo de ejecución, el cual se encarga de realizar varias verificaciones de anti-debugging, anti-sandboxing, y anti-virtualización para evitar ser detectado, luego descifra otra parte ejecutable de la imagen e inyectándose el contenido ha si mismo.
Descifrado y ejecución del Payload
Como podemos ver en la imagen, una vez realizado lo anterior, ejecuta el Payload (owEKjMRYkIfjPazjphIDdRoPePVNoulgd) que es el principal componente de AgentTesla, encargado de recolectar credenciales de los navegadores, Clientes FTP, perfiles Wi-Fi, etc.
Payload Principal
Donde el nuevo módulo integrado para robar perfiles Wi-Fi es realizado por un proceso netsh, creado para hacerse pasar por un argumento “wlan show profile”. Con la finalidad de extraer todos los perfiles disponibles por medio de un regex: “All User Profile * : (?.*)” , en la salida estándar del proceso.
Creación del proceso netsh
Luego se extraen las credenciales para cada perfil Wi-Fi con el siguiente comando: “netsh wlan show profile PRPFILENAME key=clear”.
Extracción de credenciales Wi-Fi
El grupo de expertos destacan otra característica, la cual es que todas las cadenas usadas por el malware son cifradas y descifradas por los algoritmos “Rijindael symmetric” en la función “.\u200E” (ver en la imagen anterior). Esta función recibe un número como entrada y genera tres arreglos que contienen la entrada que será descifrada, key y IV. Por ejemplo: el valor “119284” en la función “.\u200E” descifrada será “wlan show profile name=” en “Key=Clear”.
Fragmento de función \u206F
Desde Arkavia Networks sabemos que no hay protección absoluta para mitigar malware, más podemos dejarles algunas recomendaciones para disminuir el riesgo de infección:
- No abra correos electrónicos que no espera o no sean de su confianza.
- De abrirlo, verifique el remitente, si desconoce el remitente, elimínelo..
- No haga click en enlaces de correos electrónicos.
- No descarguen archivos de sitios web o de correos electrónicos de dudosa procedencia.
- Mantenga sus programas actualizados.
- Tenga siempre tenga un antivirus instalado y actualizado.
Indicadores de Compromiso (IoCs)
Primer payload (SHA-256)
249a503263717051d62a6d65a5040cf408517dd22f9021e5f8978a819b18063b
Segundo payload (SHA-256)
63393b114ebe2e18d888d982c5ee11563a193d9da3083d84a611384bc748b1b0
Fuente:
COMENTARIOS