Agent Tesla، اکنون قادر به سرقت رمز عبور WiFi
به گزارش کارگروه حملات سایبری سایبربان ؛ احتمال داده میشود که از اطلاعات سرقت شده برای گسترش آلودگی بر روی دستگاههای متصل به این شبکههای WiFi استفاده شود.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، نویسنده Agent Tesla ضمن مبهمسازی (Obfuscation) سنگین این بدافزار، نمونههای جدید آن را به نحوی طراحی کرده که با اجرای فرمان netsh به همراه سوییچ wlan show profile، فهرست پروفایلهای WiFi حاصل شود.
در ادامه بدافزار اقدام به اجرای فرمان زیر میکند که درنتیجه آن رمز عبور پروفایل بهصورت متن ساده (Clear Text) استخراج میشود.
netsh wlan show profile PRPFILENAME key=clear
علاوه بر رمزهای عبور WiFi، بدافزار اطلاعات فراوانی نظیر نرمافزارهای FTP، مرورگرها، دانلود کنندگان فایل، مشخصات ماشین (نام کاربری، نام کامپیوتر، عنوان سیستمعامل، معماری CPU و RAM) را جمعآوری میکند.
محققان Malwarebytes بهرهگیری از این اطلاعات را بهعنوان سازوکاری برای توزیع بدافزار یا اجرای اقدامات مخرب دیگر در حملاتی آتی محتمل دانستهاند.
Agent Tesla تنها بدافزاری نیست که بهتازگی قابلیتهای WiFi به آن افزودهشده است. برای مثال، در اوایل سال میلادی جاری نمونهای ارتقا یافته از تروجان Emotet شناسایی شد که با استفاده از یک ابزار منتشرکننده مجزا (Standalone) قادر به گسترش آلودگی بر روی سیستمهای متصل به شبکههای بیسیم غیرامن پیرامون خود است.
Binary Defense اعلام کرده که این ابزار را در شبکه یکی از مشتریان خود کشف کرده است. به گفته محققان این شرکت، گردانندگان Emotet از ابزار مذکور، بدون اعمال هرگونه تغییر قابلتوجهی حداقل دو سال استفاده میکردند. این افراد بعداً ابزار را به یک ماژول کرمگونه همهفنحریف تبدیل کرده و آن را بهصورت انبوه مورداستفاده قرار دادهاند.
تمرکز گردانندگان Emotet بر روی این ماژول مبتنی بر WiFi و تبدیل آن به یک کرم پیشرفته بسیار خطرناک میتواند نشانهای از حضور فعال و گستردهتر آن در آیندهای نزدیک باشد. شکل زیر روش انتشار Emotet در بستر شبکههای بیسیم را به تصویر میکشد.
Agent Tesla ازجمله بدافزارهایی است بهصورت تجاری قابلدسترس است. این برنامه سارق اطلاعات که بر پایه NET. توسعه دادهشده با عملکردهای ثبت کلید (Keylogging) و دسترسی از راه دور (Remote Access Trojan) حداقل از سال ۲۰۱۴ فعال بوده است.
Agent Tesla طی ماههای مارس تا آوریل سال میلادی جاری، با قالبهای مختلفی نظیر ZIP، CAB، MSI، IMG یا اسناد Office بهطور فعال در حال انتشار از طریق کارزارهای هرزنامهای (Spam Campaign) بوده است.
Agent Tesla از بدافزارهای پرطرفدار تبهکاران سایبری در حملات موسوم به Business Email Compromise – بهاختصار BEC – برای ضبط کلیدهای فشردهشده توسط قربانی و نماگرفت (Screenshot) از فعالیتهای کاربر محسوب میشود.
همچنین Agent Tesla در جمعآوری اطلاعات سیستمی، سرقت محتوای Clipboard و از کار انداختن پروسههای تحلیلگر و راهکارهای ضدویروس نزد هکرها و مهاجمان سایبری کاربرد دارد.
آموزش کاربران در پرهیز از اجرای فایلهای مشکوک و عدم کلیک بر روی لینکهای ناآشنا نقشی اساسی در ایمنسازی سازمان از گزند آلوده شدن به این بدافزار دارد.
بر اساس آماری که Any.Run آن را در آخرین ماه سال ۲۰۱۹ منتشر کرد، Agent Tesla با ۱۰,۳۲۴ مورد، جایگاه دوم بدافزارهای با بیشترین ارسال به این بستر تحلیل کد در سال گذشته میلادی را به خود اختصاص داده است.
نشانههای آلودگی (IoC):
هش
• ۹۱b۷۱۱۸۱۲۸۶۷b۳۹۵۳۷a۲cd۸۱bb۱ab۱۰۳۱۵ac۳۲۱a۱c۶۸e۳۱۶bf۴fa۸۴badbc۰۹b
• dd۴a۴۳b۰b۸a۶۸db۶۵b۰۰fad۹۹۵۱۹۵۳۹e۲a۰۵a۳۸۹۲f۰۳b۸۶۹d۵۸ee۱۵fdf۵aa۰۴۴
• ۲۷۹۳۹b۷۰۹۲۸b۲۸۵۶۵۵c۸۶۳fa۲۶efded۹۶bface۹db۴۶f۳۵ba۳۹d۲a۱۲۹۵۴۲۴c۰۷b
• ۲۴۹a۵۰۳۲۶۳۷۱۷۰۵۱d۶۲a۶d۶۵a۵۰۴۰cf۴۰۸۵۱۷dd۲۲f۹۰۲۱e۵f۸۹۷۸a۸۱۹b۱۸۰۶۳b
• ۶۳۳۹۳b۱۱۴ebe۲e۱۸d۸۸۸d۹۸۲c۵ee۱۱۵۶۳a۱۹۳d۹da۳۰۸۳d۸۴a۶۱۱۳۸۴bc۷۴۸b۱b۰
