Nuevo módulo para el ladrón de información AgentTesla permite robar credenciales Wi-Fi


Un ladrón de información (infostealer) es un tipo de malware que está enfocado en reunir información sensible de un sistema comprometido, con el fin de extraerla sin autorización. Dicha información comúnmente suelen ser credenciales de usuario, aunque se han conocido casos en que también buscan información financiera y personal.

AgentTesla es un infostealer visto por primera vez en el año 2014, que tiene la capacidad de robar datos de diferentes aplicaciones en las máquinas de las víctimas, como navegadores, clientes File Transfer Protocol (FTP) y descargadores de archivos. El desarrollador detrás de este malware está constantemente agregando nuevos módulos, donde ahora se agrega otro nuevo módulo a su catálogo, el cual agrega la capacidad de robar perfiles Wi-Fi.

Durante el mes de Marzo y Abril se ha detectado varias campañas de Spam para distribuir el malware en diferentes formatos de archivos, como .ZIP, .CAB, .MSI, .IMG y documentos Microsoft Office. En ellas un grupo de investigadores descubrió una nueva variante de AgentTesla con la capacidad de recolectar información de los perfiles Wi-Fi de las víctimas.

El malware analizado por los expertos está escrito en .NET compuesto de un ejecutable incrustado como una imagen, que es extraída y lanzada en tiempo tiempo de ejecución, el cual se encarga de realizar varias verificaciones de anti-debugging, anti-sandboxing, y anti-virtualización para evitar ser detectado, luego descifra otra parte ejecutable de la imagen e inyectándose el contenido ha si mismo.

Descifrado y ejecución del Payload


Como podemos ver en la imagen, una vez realizado lo anterior, ejecuta el Payload (owEKjMRYkIfjPazjphIDdRoPePVNoulgd) que es el principal componente de AgentTesla, encargado de recolectar credenciales de los navegadores, Clientes FTP, perfiles Wi-Fi, etc. 

Payload Principal


Donde el nuevo módulo integrado para robar perfiles Wi-Fi es realizado por un proceso netsh, creado para hacerse pasar por un argumento “wlan show profile”. Con la finalidad de extraer todos los perfiles disponibles por medio de un regex: “All User Profile * :  (?.*)”, en la salida estándar del proceso.

Creación del proceso netsh


Luego se extraen las credenciales para cada perfil Wi-Fi con el siguiente comando: “netsh wlan show profile PRPFILENAME key=clear”.

Extracción de credenciales Wi-Fi


El grupo de expertos destacan otra característica, la cual es que todas las cadenas usadas por el malware son cifradas y descifradas por los algoritmos “Rijindael symmetric” en la función .\u200E” (ver en la imagen anterior). Esta función recibe un número como entrada y genera tres arreglos que contienen la entrada que será descifrada, key y IV. Por ejemplo: el valor “119284” en la función .\u200E” descifrada será “wlan show profile name=” en “Key=Clear”.

Fragmento de función \u206F


Desde Arkavia Networks sabemos que no hay protección absoluta para mitigar malware, más podemos dejarles algunas recomendaciones para disminuir el riesgo de infección:

  1. No abra correos electrónicos que no espera o no sean de su confianza.
  2. De abrirlo, verifique el remitente, si desconoce el remitente, elimínelo..
  3. No haga click en enlaces de correos electrónicos.
  4. No descarguen archivos de sitios web o de correos electrónicos de dudosa procedencia.
  5. Mantenga sus programas actualizados.
  6. Tenga siempre tenga un antivirus instalado y actualizado.


Indicadores de Compromiso (IoCs)

Primer payload (SHA-256)
249a503263717051d62a6d65a5040cf408517dd22f9021e5f8978a819b18063b

Segundo payload (SHA-256) 
63393b114ebe2e18d888d982c5ee11563a193d9da3083d84a611384bc748b1b0



Fuente:

COMENTARIOS

Nombre

Actualizaciones,4,Adobe,1,Adware,3,AgentTesla,1,android,31,Antivirus,3,APP,1,Apple,16,Apps,13,Arkavia Networks,13,asus,1,Ataques,5,Azure,2,Backdoor,4,Bancos,6,Bases de Datos,4,Bluetooth,1,Botnet,4,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,2,Ciberataque,4,Cibercrimen,131,Ciberdelincuencia,4,ciberseguridad,114,Cisco,1,Citrix,3,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,5,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,9,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,Ecommerce,2,Emotet,1,Empresas,113,enrutadores,1,Estadisticas,1,Eventos,5,Exchange,2,exploit,5,Exploits,11,Extensiones,1,Extensions,1,F5 Networks,1,Facebook,8,Firewall,1,Firmware,2,Framework,1,Gmail,1,GoDaddy,1,google,31,Hacking,83,Hardware,7,Hosting,3,IBM,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,Linux,7,Malware,37,Malwares,32,MFA,1,Microsoft,32,Mirai,1,MSP,1,Mukashi,1,Nacional,10,NAS,1,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,15,Plugins,1,Protocolos,12,Python,1,Ransomware,14,RAT,1,RCE,1,RDP,1,Recomendaciones,15,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rootkit,1,Routers,2,RRSS,2,Salt,1,Salud,2,Servicios,5,Smartphones,29,SMB,3,Software,23,Sophos,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,Tplink,1,Trickbot,1,Trojan,1,Troyano,2,Update,4,updates,22,Videoconferencia,1,VPN,3,Vulnerabilidad,20,Vulnerabilidades,71,Web,7,WhatsApp,5,wifi,5,Windows,12,Wordpress,4,XG,1,zeroday,2,Zoom,2,
ltr
item
Arkavia Networks News: Nuevo módulo para el ladrón de información AgentTesla permite robar credenciales Wi-Fi
Nuevo módulo para el ladrón de información AgentTesla permite robar credenciales Wi-Fi
https://1.bp.blogspot.com/-W50gHjXvHww/XpoYLMxqfsI/AAAAAAAAB8k/f6we3am0NfI90QE47WOgSdCq-uP4DHanACLcBGAsYHQ/s640/Nueva%2Bcaracteristica%2BInfostealer%2BAgentTesla.jpg
https://1.bp.blogspot.com/-W50gHjXvHww/XpoYLMxqfsI/AAAAAAAAB8k/f6we3am0NfI90QE47WOgSdCq-uP4DHanACLcBGAsYHQ/s72-c/Nueva%2Bcaracteristica%2BInfostealer%2BAgentTesla.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/04/nuevo-modulo-para-el-ladron-de.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/04/nuevo-modulo-para-el-ladron-de.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy