AgentTesla es un infostealer basado en .Net que tiene la capacidad de robar datos de diferentes aplicaciones en máquinas víctimas, como navegadores, clientes FTP y descargadores de archivos. El actor detrás de este malware lo mantiene constantemente agregando nuevos módulos. Uno de los nuevos módulos que se ha agregado a este malware es la capacidad de robar perfiles WiFi.

AgentTesla fue visto por primera vez en 2014, y desde entonces ha sido utilizado frecuentemente por ciberdelincuentes en varias campañas maliciosas. Durante los meses de marzo y abril de 2020, se distribuyó activamente a través de campañas de spam en diferentes formatos, como ZIP, CAB, MSI, archivos IMG y documentos de Office.

Las variantes más recientes de AgentTesla que se ven en la naturaleza tienen la capacidad de recopilar información sobre el perfil WiFi de una víctima, posiblemente para usarlo como una forma de propagarse a otras máquinas. En este blog, revisamos cómo funciona esta nueva característica.

Análisis técnico

La variante que analizamos fue escrita en .Net. Tiene un ejecutable incrustado como un recurso de imagen, que se extrae y ejecuta en tiempo de ejecución (Figura 1).

Figura 1. Extraiga y ejecute la carga útil.

Este ejecutable (ReZer0V2) también tiene un recurso que está encriptado. Después de realizar varias comprobaciones de anti-depuración, anti-sandboxing y anti-virtualización, el ejecutable descifra e inyecta el contenido del recurso en sí mismo (Figura 2).

Figura 2. Descifrar y ejecutar la carga útil.

La segunda carga útil (owEKjMRYkIfjPazjphIDdRoPePVNoulgd) es el componente principal de AgentTesla que roba credenciales de navegadores, clientes FTP, perfiles inalámbricos y más (Figura 3). La muestra está muy ofuscada para dificultar el análisis a los investigadores.

Figura 3. Segunda carga útil

Para recopilar credenciales de perfil inalámbrico, se crea un nuevo proceso «netsh» al pasar «wlan show profile» como argumento (Figura 4). Los nombres de WiFi disponibles se extraen luego aplicando una expresión regular: “Todos los perfiles de usuario *: (? <perfil>. *)”, En la salida estándar del proceso.

Figura 4 Crear proceso de netsh

En el siguiente paso para cada perfil inalámbrico, se ejecuta el siguiente comando para extraer la credencial del perfil: «netsh wlan show profile PRPFILENAME key = clear» (Figura 5).

Figura 5. Extraer credenciales de WiFi

Cifrado de cadenas

Todas las cadenas utilizadas por el malware están cifradas y descifradas por el algoritmo de  cifrado simétrico Rijndael en la función «<Module>. \ U200E». Esta función recibe un número como entrada y genera tres conjuntos de bytes que contienen la entrada a descifrar, clave y IV (Figura 6).

Figura 6. Fragmento de función

Por ejemplo, en la Figura 5, «119216» se descifra en «wlan show profile name =» y «119196» se descifra en «key = clear».

Además de los perfiles WiFi, el ejecutable recopila información extensa sobre el sistema, incluidos clientes FTP, navegadores, descargadores de archivos e información de la máquina (nombre de usuario, nombre de la computadora, nombre del sistema operativo, arquitectura de la CPU, RAM) y los agrega a una lista (Figura 7 )

Figura 7. Lista de información recopilada

La información recopilada forma la sección del cuerpo de un mensaje SMTP en formato html (Figura 8):

Figura 8 Datos recopilados en formato html en el cuerpo del mensaje

Nota: Si la lista final tiene menos de tres elementos, no generará un mensaje SMTP. Si todo se verifica, finalmente se envía un mensaje a través de smtp.yandex.com, con SSL habilitado (Figura 9):

Figura 9. Crear mensaje Smtp

El siguiente diagrama muestra todo el proceso explicado anteriormente, desde la extracción de la primera carga útil del recurso de imagen hasta la exfiltración de la información robada a través de SMTP:

Figura 10. Diagrama de proceso

Ladrón popular que busca expandirse

Dado que AgentTesla agregó la función de robo de WiFi, creemos que los actores de la amenaza pueden estar considerando usar WiFi como un mecanismo de propagación, similar a lo que se observó con Emotet . Otra posibilidad es usar el perfil WiFi para preparar el escenario para futuros ataques.

De cualquier manera, los usuarios de Malwarebytes ya estaban protegidos de esta nueva variante de AgentTesla a través de nuestra tecnología de protección en tiempo real.

Indicadores de compromiso

Muestras de AgentTesla:

91b711812867b39537a2cd81bb1ab10315ac321a1c68e316bf4fa84badbc09b 
dd4a43b0b8a68db65b00fad99519539e2a05a3892f03b869d58ee15fdf5aa044 
27939b70928b285655c863fa26efded96bface9db46f35ba39d2a1295424c07b

Primera carga útil:

249a503263717051d62a6d65a5040cf408517dd22f9021e5f8978a819b18063b

Segunda carga útil: 

63393b114ebe2e18d888d982c5ee11563a193d9da3083d84a611384bc748b1b0