Emotet kan nu hacke Wi-Fi-netværk
Mange mennesker synes ikke meget om det, men den korrekte konfiguration af et Wi-Fi-netværk er utroligt vigtigt. Det kan åbne porten til alle dine personlige enheder, og dens sikkerhed skal behandles med største respekt af mange forskellige grunde. For nylig fandt James Quinn, en malware-analytiker for Binary Defense, endnu en.
Han opdagede det, da han analyserede en ny prøve af Emotet-malware, som han snublede over i slutningen af januar. Emotet er uden tvivl den mest udbredte malware-trussel i de sidste par år. Det har eksisteret siden 2014, og selvom det kan bruges som en uafhængig bank-trojan, har den ofte været anvendt som en dråber til andre malware-stammer. Indtil videre er det hovedsageligt distribueret ved hjælp af store malspam-kampagner, og dens operatører har brugt smarte socialtekniske teknikker til at inficere så mange mennesker som muligt. Da James Quinn kiggede nærmere på den nye version, så han imidlertid, at Emotets forfattere havde inkluderet et tidligere ikke-rapporteret modul til spredning på tværs af enheder og netværk.
Emotet hopper Wi-Fi-netværk for at maksimere antallet af ofre
Emotets operation efter infektion i den version, Quinn undersøgt, er afhængig af et par eksekverbare filer placeret i et selvudpakkende RAR-arkiv. Den første, service.exe, er ansvarlig for at udtrække binær Emotet og udføre den. Som navnet antyder, har den anden, worm.exe, til opgave at placere service.exe på så mange computere som muligt.
Da han vendegenererede worm.exe, så James Quinn, at filen kommunikerede kraftigt med wlanAPI.dll - et bibliotek, der giver Windows-computere mulighed for at oprette forbindelse til trådløse netværk. Ved hjælp af API-opkald samler Emotets sprederkomponent en liste over alle tilgængelige Wi-Fi-netværk og fremstiller en detaljeret profil af hver enkelt af dem. Når det har etableret et netværks SSID, signalstyrke og sikkerhedsprotokol, prøver malware at oprette forbindelse til det. Hvis det trådløse netværk ikke er beskyttet af en adgangskode, går Emotet lige ind. Hvis netværket er låst, forsøger det at brute-force sin vej ved hjælp af en hårdkodet liste med svage og let at gætte adgangskoder.
Alle vellykkede angreb på nærliggende trådløse netværk rapporteres til Command and Control (C&C) serveren, hvorefter ormen fortsætter med infektionsrutinen. Alle de ikke-skjulte dele på et kompromitteret netværk er opregnet, og ved hjælp af en anden hårdkodet liste med adgangskoder prøver worm.exe at kompromittere dem alle. Hvis dette ikke fungerer, forsøger malware at brute-tvinge administratorkontoen til netværksressourcen.
Efter vellykket gætte et kodeord, omdøber Emotet service.exe til my.exe og placerer det på den kompromitterede computers C: \ drev. En nyoprettet tjeneste sikrer, at filen udføres.
Den "nye" ormekomponent er angiveligt to år gammel
James Quinn var lidt overrasket over at se, at i henhold til filens tidsstempel blev ormkomponenten oprettet i april 2018. Efter lidt mere research indså han, at en kopi af worm.exe først blev sendt til VirusTotal i maj 2018, hvilket viste, at det er ikke rigtig nyt.
Tilsyneladende har Emotet haft evnen til at hoppe mellem trådløse netværk i næsten to år nu, men af en eller anden grund har sikkerhedseksperterne kun lige opdaget det. Dette kan skyldes, at malware-operatørerne ikke har brugt funktionaliteten indtil videre, men det kan også skyldes, at sandkasser og virtuelle maskiner, som forskere bruger til at undersøge malware, sjældent kommer med trådløs forbindelse.
Uanset hvad der er, er der i tvivl kun nogen tvivl om, at sprederkomponenten er kraftig og kan forårsage en masse skade. Med det kan din nabo's uagtsomhed føre til tyveri af dine personlige data, så sørg for at dit hjemmenetværk er beskyttet af en stærk adgangskode.