間諜軟體AgentTesla的主要傳播媒介是垃圾電子郵件,附件可以是各種格式的文件(如ZIP、CAB、MSI、IMG文件和Office文檔)。它首次現身是在2014年,此後便不斷被網絡犯罪分子用於各種惡意活動。
根據網絡安全公司Malwarebytes的說法,AgentTesla是一種基於.Net的間諜軟體,能夠從受感染設備上安裝的各種軟體(包括但不限於瀏覽器、FTP客戶端和文件下載器)中竊取數據。現如今,它的最新變種還增加能夠竊取受感染設備WiFi配置文件的功能。
技術分析
由Malwarebytes公司捕獲的AgentTesla樣本是一個內嵌圖片文件的可執行文件,圖片文件將在可執行文件運行時被提取並解密。
在解密完成後,可執行文件會將解密的內容注入自身,以形成第二階段有效載荷並執行。
第二階段有效載荷(owEKjMRYkIfjPazjphIDdRoPePVNoulgd)是AgentTesla的核心組件,可從瀏覽器、FTP客戶端、WiFi配置文件等中竊取憑證。
從WiFi配置文件中竊取憑證,涉及到通過傳遞「wlan show profile」作為參數來創建一個新的「netsh」進程(圖4),然後在進程的stdout輸出上應用正則表達式「All User Profile * : (?<profile>.*)」來提取可用的WiFi名稱。
接下來,用於從WiFi配置文件中竊取憑證的命令如下:
netsh wlan show profile PRPFILENAME key=clea
除WiFi配置文件外,第二階段有效載荷還會收集有關受感染系統的各種信息,包括FTP客戶端、瀏覽器、文件下載器和設備信息(用戶名、計算機名、作業系統名稱、CPU體系結構、RAM),並將它們添加到如下列表中。
最後,所有這些信息將以html格式通過SMTP郵件發送給攻擊者。
結語
由於AgentTesla新增了WiFi配置文件竊取功能,因此Malwarebytes公司認為攻擊者可能正在考慮使用WiFi作為新的傳播機制,就像此前的Emotet銀行木馬變種一樣。當然,這裡還存在另一種可能,竊取WiFi配置文件是為將來的攻擊做準備。