Emotet ahora es capaz de piratear redes Wi-Fi

Emotet Spreads by Hacking Wi-Fi Networks

Muchas personas no piensan mucho en ello, pero la configuración correcta de una red Wi-Fi es increíblemente importante. Podría abrir la puerta de entrada a todos sus dispositivos personales, y su seguridad debe tratarse con el mayor respeto por muchas razones diferentes. Recientemente, James Quinn, un analista de malware para Binary Defense, encontró otro más.

Lo descubrió cuando estaba analizando una nueva muestra del malware Emotet, con el que tropezó a fines de enero. Emotet es posiblemente la amenaza de malware más frecuente de los últimos años. Ha existido desde 2014, y aunque se puede usar como un troyano bancario independiente, con frecuencia se ha empleado como un cuentagotas para otras cepas de malware. Hasta ahora, se ha distribuido principalmente con la ayuda de campañas de malspam a gran escala, y sus operadores han utilizado técnicas inteligentes de ingeniería social para infectar a la mayor cantidad de personas posible. Sin embargo, cuando James Quinn echó un vistazo más de cerca a la nueva versión, vio que los autores de Emotet habían incluido un módulo previamente no reportado para propagarse entre dispositivos y redes.

Emotet salta las redes Wi-Fi para maximizar el número de víctimas

La operación posterior a la infección de Emotet en la versión que Quinn examinó depende de un par de archivos ejecutables ubicados en un archivo RAR autoextraíble. El primero, service.exe, es responsable de extraer el binario Emotet y ejecutarlo. Como su nombre lo sugiere, el segundo, worm.exe, tiene la tarea de colocar service.exe en la mayor cantidad de computadoras posible.

Cuando realizó ingeniería inversa de worm.exe, James Quinn vio que el archivo se estaba comunicando fuertemente con wlanAPI.dll, una biblioteca que permite que las computadoras con Windows se conecten a redes inalámbricas. Usando llamadas API, el componente de spreader de Emotet recopila una lista de todas las redes Wi-Fi disponibles y crea un perfil detallado de todas y cada una de ellas. Después de establecer el SSID de la red, la intensidad de la señal y el protocolo de seguridad, el malware intenta conectarse a él. Si la red inalámbrica no está protegida por una contraseña, Emotet entra directamente. Si la red está bloqueada, intentará forzar su uso mediante una lista codificada de contraseñas débiles y fáciles de adivinar.

Todos los ataques exitosos en las redes inalámbricas vecinas se informan al servidor de Comando y Control (C&C), después de lo cual el gusano continúa con la rutina de infección. Se enumeran todos los recursos compartidos no ocultos en una red comprometida y, utilizando una segunda lista codificada de contraseñas, worm.exe intenta comprometerlos a todos. Si esto no funciona, el malware intenta forzar la cuenta de administrador para el recurso de red.

Después de adivinar con éxito una contraseña, Emotet cambia el nombre de service.exe a my.exe y lo coloca en la unidad C: \ de la computadora comprometida. Un servicio recién creado asegura que el archivo se ejecute.

El "nuevo" componente de gusano tiene supuestamente dos años

James Quinn se sorprendió un poco al ver que, según la marca de tiempo del archivo, el componente de gusano se creó en abril de 2018. Después de investigar un poco más, se dio cuenta de que una copia de worm.exe se envió por primera vez a VirusTotal en mayo de 2018, lo que mostró que No es realmente nuevo.

Aparentemente, Emotet ha tenido la capacidad de saltar entre redes inalámbricas durante casi dos años, pero por alguna razón, los expertos en seguridad lo acaban de descubrir. Esto podría deberse a que los operadores del malware no han utilizado la funcionalidad hasta ahora, pero también podría deberse al hecho de que los sandboxes y las máquinas virtuales que usan los investigadores para examinar el malware rara vez vienen con conectividad inalámbrica.

Cualquiera sea el caso, hay pocas dudas en la mente de cualquiera de que el componente separador es poderoso y puede causar mucho daño. Con él, la negligencia de su vecino podría provocar el robo de sus datos personales, así que asegúrese de que su red doméstica esté protegida por una contraseña segura.

February 11, 2020

Deja una respuesta