Este famoso malware ahora es capaz de robar la contraseña del WiFi

Este famoso malware ahora es capaz de robar la contraseña del WiFi

Claudio Valero

El malware puede ser de muchos tipos y tener muchas capacidades diferentes. Además, tenemos algunos malware que se van actualizando con el paso del tiempo con nuevos módulos o funcionalidades. Uno de los más activos o conocidos del momento es AgentTesla. En una de sus últimas variantes, los responsables de esta amenaza de seguridad le han añadido la capacidad de robar la contraseña del WiFi de diversos dispositivos. Por el momento, se desconoce el propósito final de este robo de credenciales, aunque se sospecha de la creación de una botnet para atacar Internet.

AgentTesla es un malware dedicado especialmente al robo de información de diferentes aplicaciones como navegadores, clientes FTP o programas para descargar de Internet. Los responsables de esta amenaza de seguridad están constantemente mejorándola y ampliando sus capacidades. Por si fuera poco, ahora han añadido un nuevo módulo para robar los perfiles WiFi de los dispositivos, incluyendo el SSID y la contraseña. Este malware fue lanzado en 2014, pero incluye en marzo o abril de este año se le ha visto en campañas de SPAM dentro de ficheros ZIP, CAB, MSI, imágenes o documentos de Office.

AgentTesla, 6 años sembrando el caos

La variante analizada por Malwarebytes fue escrita en .Net. En su interior, se encuentra la nueva capacidad de robar contraseñas WiFi utilizando el comando netsh con los argumentos wlan show profile. La información extraída del ordenador o dispositivo infectado se codifica en formato HTML y se envía por correo electrónico.

AgentTesla

¿Y para qué quieren contraseñas WiFi? Los responsables de descubrir esta nueva capacidad de AgentTesla creen que el principal objetivo es aprovechar estas credenciales para expandir aún más el malware. Otra posibilidad es que quieran tener acceso a diversos dispositivos para lanzar ataques en el futuro.

Además, este no el primer malware que se actualiza con la posibilidad de robar contraseñas WiFi. El troyano Emotet también cuenta ahora mismo con esta capacidad para infectar a todos los dispositivos conectados a la red.

En ambos casos, el email suele ser la forma principal de propagación de este tipo de amenazas. Por esa razón, debemos ser muy cautelosos con los archivos adjuntos que contienen y que no debemos descargar en ninguna circunstancia. De forma general, evitaremos abrir los adjuntos de correos desconocidos.

Esto también aplica a webs de descargar torrents. Si lo que descargamos es un fichero .torrent, podemos seguir adelante, pero si la web descarga un fichero .zip o similar, debemos empezar a desconfiar. En la mayoría de los casos, estos esconden scripts .vbs en su interior que nunca debemos abrir.