拦截器添加新参数(间谍软件AgentTesla再升级)(1)

间谍软件AgentTesla的主要传播媒介是垃圾电子邮件,附件可以是各种格式的文件(如ZIP、CAB、MSI、IMG文件和Office文档)。它首次现身是在2014年,此后便不断被网络犯罪分子用于各种恶意活动。

根据网络安全公司Malwarebytes的说法,AgentTesla是一种基于.Net的间谍软件,能够从受感染设备上安装的各种软件(包括但不限于浏览器、FTP客户端和文件下载器)中窃取数据。现如今,它的最新变种还增加能够窃取受感染设备WiFi配置文件的功能。

技术分析

由Malwarebytes公司捕获的AgentTesla样本是一个内嵌图片文件的可执行文件,图片文件将在可执行文件运行时被提取并解密。

拦截器添加新参数(间谍软件AgentTesla再升级)(2)

图1.提取并执行初始有效载荷

在解密完成后,可执行文件会将解密的内容注入自身,以形成第二阶段有效载荷并执行。

拦截器添加新参数(间谍软件AgentTesla再升级)(3)

图2.解密并执行第二阶段有效载荷

第二阶段有效载荷(owEKjMRYkIfjPazjphIDdRoPePVNoulgd)是AgentTesla的核心组件,可从浏览器、FTP客户端、WiFi配置文件等中窃取凭证。

拦截器添加新参数(间谍软件AgentTesla再升级)(4)

图3.第二阶段有效载荷

从WiFi配置文件中窃取凭证,涉及到通过传递“wlan show profile”作为参数来创建一个新的“netsh”进程(图4),然后在进程的stdout输出上应用正则表达式“All User profile * : (?<profile>.*)”来提取可用的WiFi名称。

拦截器添加新参数(间谍软件AgentTesla再升级)(5)

图4.创建netsh进程

接下来,用于从WiFi配置文件中窃取凭证的命令如下:

netsh wlan show profile PRPFILENAME key=clea

拦截器添加新参数(间谍软件AgentTesla再升级)(6)

图5.提取WiFi凭证

除WiFi配置文件外,第二阶段有效载荷还会收集有关受感染系统的各种信息,包括FTP客户端、浏览器、文件下载器和设备信息(用户名、计算机名、操作系统名称、CPU体系结构、RAM),并将它们添加到如下列表中。

拦截器添加新参数(间谍软件AgentTesla再升级)(7)

图6.被盗信息列表

最后,所有这些信息将以html格式通过SMTP邮件发送给攻击者。

拦截器添加新参数(间谍软件AgentTesla再升级)(8)

图7.以html格式通过SMTP邮件发送的数据

拦截器添加新参数(间谍软件AgentTesla再升级)(9)

图8.完整感染链

结语

由于AgentTesla新增了WiFi配置文件窃取功能,因此Malwarebytes公司认为攻击者可能正在考虑使用WiFi作为新的传播机制,就像此前的Emotet银行木马变种一样。当然,这里还存在另一种可能,窃取WiFi配置文件是为将来的攻击做准备。

,