AgentTesla 是一個基於 .NET 的信息竊密惡意軟件，能夠從失陷主機的不同應用程序（瀏覽器、FTP 客戶端和下載工具等）中竊取數據。該惡意軟件的維護者不斷添加新的模塊爲 AgentTesla 升級維護，最新添加的模塊是爲了竊取 WiFi 配置文件。

2014 年 AgentTesla 首次出現後就別網絡犯罪分子在各種惡意活動中廣爲使用。在 2020 年 3 月到 4 月期間，AgentTesla 通過多種格式的垃圾郵件附件（如 ZIP、CAB、MSI、IMG 和 Office 文件等）進行惡意軟件的分發。

我們在野看到的 AgentTesla 新變種能夠收集受害者 WiFi 配置文件信息，有可能想利用這種渠道傳播到其他設備上。本文將分析這個新功能的工作原理。

技術分析

我們分析的新變種是使用 .NET 編寫的，這是一個嵌入圖片資源的可執行文件，可以在運行時提取。

該可執行文件（ReZer0V2）也帶有加密的資源。在執行了多次反調試、反沙盒、反虛擬化檢查之後，可執行文件將資源的內容解密並將其注入自身。

第二個 Payload（owEKjMRYkIfjPazjphIDdRoPePVNoulgd）是 AgentTesla 的主要組件，可從瀏覽器、FTP 客戶端、WiFi 配置文件等位置竊取憑據信息。樣本經過了高度混淆化，這使得研究人員更加難以進行分析。

要收集 WiFi 配置文件中的憑據信息，如下所示，將 wlan show profile 作爲參數新創建進程 netsh。然後，通過在該進程的輸出上使用正則表達式 All User Profile * : (?<profile>.*) 進行匹配提取可用的 WiFi 名稱。

在每個 WiFi 配置中都執行以下命令提取配置文件的憑據 netsh wlan show profile PRPFILENAME key=clear。

加密字符串

AgentTesla 使用的所有字符串都經過加密，並且在 <Module>.\u200E 函數中使用 Rijndael 對稱加密算法進行解密。該函數接受一個數字作爲輸入，生成三個字節數組，分別是要解密的密文、密鑰和 IV。

如前所示，119216 被解密爲 wlan show profile name=，119196 被解密爲 key=clear。

除了 WiFi 配置文件，AgentTesla 還收集大量系統信息，包括 FTP 客戶端、瀏覽器、文件下載和機器信息（用戶名、計算機名、操作系統名、CPU 體系結構、內存信息），並將這些信息添加到列表中。

收集的信息以 HTML 格式的 SMTP 郵件正文形式傳送：

如果最終列表中少於三個元素，則不會產生 SMTP 消息。如果一切正常，最後將通過 smtp.yandex.com 發送一條啓用 SSL 的消息：

下圖總結了以上的整個過程，從圖像資源中提取第一個 Payload 到通過 SMTP 傳遞竊密信息。

擴大感染

AgentTesla 新增了 WiFi 竊密功能，我們認爲攻擊者可能在考慮使用 WiFi 作爲新的傳播渠道，類似 Emotet 的做法。也可能是想保留 WiFi 信息爲將來的工作做好準備。

IOC

 91b711812867b39537a2cd81bb1ab10315ac321a1c68e316bf4fa84badbc09b
 dd4a43b0b8a68db65b00fad99519539e2a05a3892f03b869d58ee15fdf5aa044
 27939b70928b285655c863fa26efded96bface9db46f35ba39d2a1295424c07b
 249a503263717051d62a6d65a5040cf408517dd22f9021e5f8978a819b18063b
 63393b114ebe2e18d888d982c5ee11563a193d9da3083d84a611384bc748b1b0

*參考來源： MalwareBytes ，FB 小編 Avenger 編譯，轉載請註明來自 FreeBuf.COM