Emotet ist jetzt in der Lage, Wi-Fi-Netzwerke zu hacken

Emotet Spreads by Hacking Wi-Fi Networks

Viele Leute denken nicht viel darüber nach, aber die richtige Konfiguration eines Wi-Fi-Netzwerks ist unglaublich wichtig. Es könnte das Tor zu all Ihren persönlichen Geräten öffnen, und seine Sicherheit muss aus vielen verschiedenen Gründen mit größtmöglichem Respekt behandelt werden. Kürzlich hat James Quinn, ein Malware-Analyst für Binary Defense, einen weiteren gefunden.

Er entdeckte es, als er eine neue Probe der Emotet-Malware analysierte, auf die er Ende Januar stieß. Emotet ist wohl die häufigste Malware-Bedrohung der letzten Jahre. Es gibt es bereits seit 2014, und obwohl es als eigenständiger Banking-Trojaner eingesetzt werden kann, wurde es häufig als Dropper für andere Malware-Stämme eingesetzt. Bisher wurde es hauptsächlich mit Hilfe von groß angelegten Malspam-Kampagnen verbreitet, und die Betreiber haben clevere Social-Engineering-Techniken eingesetzt, um so viele Menschen wie möglich zu infizieren. Als James Quinn sich die neue Version genauer ansah, stellte er fest, dass die Autoren von Emotet ein zuvor nicht gemeldetes Modul zur Verteilung auf Geräte und Netzwerke integriert hatten.

Emotet springt über Wi-Fi-Netzwerke, um die Anzahl der Opfer zu maximieren

Die Post-Infection-Operation von Emotet in der untersuchten Version von Quinn hängt von einigen ausführbaren Dateien ab, die sich in einem selbstextrahierenden RAR-Archiv befinden. Die erste, service.exe, ist dafür verantwortlich, die Emotet-Binärdatei zu extrahieren und auszuführen. Wie der Name vermuten lässt, hat der zweite Befehl, worm.exe, die Aufgabe, service.exe auf so vielen Computern wie möglich zu platzieren.

Als er worm.exe zurückentwickelte, stellte James Quinn fest, dass die Datei in hohem Maße mit wlanAPI.dll kommunizierte - einer Bibliothek, mit der Windows-Computer eine Verbindung zu drahtlosen Netzwerken herstellen können. Mithilfe von API-Aufrufen sammelt die Spreader-Komponente von Emotet eine Liste aller verfügbaren Wi-Fi-Netzwerke und erstellt ein detailliertes Profil aller dieser Netzwerke. Nachdem die SSID, die Signalstärke und das Sicherheitsprotokoll eines Netzwerks festgelegt wurden, versucht die Malware, eine Verbindung herzustellen. Wenn das drahtlose Netzwerk nicht durch ein Kennwort geschützt ist, greift Emotet direkt ein. Wenn das Netzwerk gesperrt ist, versucht Emotet, sich mithilfe einer hartcodierten Liste von schwachen und leicht zu erratenden Kennwörtern brutal durchzusetzen.

Alle erfolgreichen Angriffe auf benachbarte drahtlose Netzwerke werden an den Command and Control-Server (C&C) gemeldet. Danach setzt der Wurm die Infektionsroutine fort. Alle nicht ausgeblendeten Freigaben in einem gefährdeten Netzwerk werden aufgelistet, und worm.exe versucht, sie alle mithilfe einer zweiten hartcodierten Liste von Kennwörtern zu gefährden. Wenn dies nicht funktioniert, versucht die Malware, das Administratorkonto für die Netzwerkressource zu erzwingen.

Nach dem erfolgreichen Erraten eines Kennworts benennt Emotet service.exe in my.exe um und legt es auf dem Laufwerk C: \ des angegriffenen Computers ab. Ein neu angelegter Dienst sorgt dafür, dass die Datei ausgeführt wird.

Die "neue" Wurmkomponente ist angeblich zwei Jahre alt

James Quinn war ein wenig überrascht, dass die Wurmkomponente laut Zeitstempel der Datei im April 2018 erstellt wurde. Nach weiteren Recherchen stellte er fest, dass im Mai 2018 erstmals eine Kopie von worm.exe an VirusTotal gesendet wurde, was dies zeigte es ist nicht wirklich neu.

Anscheinend ist Emotet seit fast zwei Jahren in der Lage, zwischen drahtlosen Netzwerken zu wechseln, aber aus irgendeinem Grund haben die Sicherheitsexperten dies gerade erst entdeckt. Dies könnte daran liegen, dass die Betreiber der Malware die Funktionalität bisher nicht genutzt haben, aber es könnte auch daran liegen, dass die Forscher an Sandboxen und virtuellen Maschinen, mit denen Malware untersucht wird, nur selten drahtlose Konnektivität aufweisen.

In jedem Fall besteht kaum ein Zweifel daran, dass die Streukomponente leistungsstark ist und großen Schaden anrichten kann. Die Nachlässigkeit Ihres Nachbarn kann zum Diebstahl Ihrer persönlichen Daten führen. Vergewissern Sie sich daher, dass Ihr Heimnetzwerk durch ein sicheres Kennwort geschützt ist.

February 11, 2020

Antworten