Emotet est désormais capable de pirater les réseaux Wi-Fi

Emotet Spreads by Hacking Wi-Fi Networks

Beaucoup de gens n'y pensent pas beaucoup, mais la configuration correcte d'un réseau Wi-Fi est extrêmement importante. Il pourrait ouvrir la passerelle à tous vos appareils personnels et sa sécurité doit être traitée avec le plus grand respect pour de nombreuses raisons différentes. Récemment, James Quinn, analyste de logiciels malveillants pour Binary Defense, en a trouvé un autre.

Il l'a découvert en analysant un nouvel échantillon du malware Emotet, sur lequel il est tombé fin janvier. Emotet est sans doute la menace de malware la plus répandue ces dernières années. Il existe depuis 2014 et bien qu'il puisse être utilisé comme un cheval de Troie bancaire autonome, il a souvent été utilisé comme compte-gouttes pour d'autres souches de logiciels malveillants. Jusqu'à présent, il a été distribué principalement à l'aide de campagnes de malspam à grande échelle, et ses opérateurs ont utilisé des techniques ingénieuses d'ingénierie sociale pour infecter autant de personnes que possible. Lorsque James Quinn a examiné de plus près la nouvelle version, cependant, il a vu que les auteurs d'Emotet avaient inclus un module auparavant non signalé pour la diffusion sur les appareils et les réseaux.

Emotet saute sur les réseaux Wi-Fi pour maximiser le nombre de victimes

L'opération post-infection d'Emotet dans la version examinée par Quinn dépend de quelques fichiers exécutables placés dans une archive RAR à extraction automatique. Le premier, service.exe, est responsable de l'extraction du binaire Emotet et de son exécution. Comme son nom l'indique, le second, worm.exe, est chargé de placer service.exe sur autant d'ordinateurs que possible.

Lorsqu'il a procédé à une ingénierie inverse de worm.exe, James Quinn a constaté que le fichier communiquait fortement avec wlanAPI.dll - une bibliothèque qui permet aux ordinateurs Windows de se connecter aux réseaux sans fil. À l'aide d'appels API, le composant spreader d'Emotet collecte une liste de tous les réseaux Wi-Fi disponibles et fait un profil détaillé de chacun d'entre eux. Une fois qu'il a établi le SSID, la puissance du signal et le protocole de sécurité d'un réseau, le logiciel malveillant tente de s'y connecter. Si le réseau sans fil n'est pas protégé par un mot de passe, Emotet entre directement. Si le réseau est verrouillé, il tentera de forcer son chemin en utilisant une liste codée en dur de mots de passe faibles et faciles à deviner.

Toutes les attaques réussies contre les réseaux sans fil voisins sont signalées au serveur de commande et de contrôle (C&C), après quoi le ver poursuit la routine d'infection. Tous les partages non masqués sur un réseau compromis sont énumérés et, à l'aide d'une deuxième liste de mots de passe codée en dur, worm.exe essaie de les compromettre tous. Si cela ne fonctionne pas, le malware tente de forcer le compte administrateur pour la ressource réseau.

Après avoir réussi à deviner un mot de passe, Emotet renomme service.exe en my.exe et le place sur le lecteur C: \ de l'ordinateur compromis. Un service nouvellement créé garantit l'exécution du fichier.

Le "nouveau" composant du ver aurait deux ans

James Quinn a été un peu surpris de voir que, selon l'horodatage du fichier, le composant ver avait été créé en avril 2018. Après quelques recherches supplémentaires, il s'est rendu compte qu'une copie de worm.exe avait été soumise pour la première fois à VirusTotal en mai 2018, ce qui montrait que ce n'est pas vraiment nouveau.

Apparemment, Emotet a la capacité de basculer entre les réseaux sans fil depuis près de deux ans maintenant, mais pour une raison quelconque, les experts en sécurité viennent de le découvrir. Cela peut être dû au fait que les opérateurs du logiciel malveillant n'ont pas utilisé la fonctionnalité jusqu'à présent, mais cela peut également être dû au fait que les bacs à sable et les machines virtuelles que les chercheurs utilisent pour examiner les logiciels malveillants sont rarement fournis avec une connectivité sans fil.

Quoi qu'il en soit, personne ne doute que le composant épandeur est puissant et peut causer beaucoup de dégâts. Avec cela, la négligence de votre voisin pourrait entraîner le vol de vos données personnelles, alors assurez-vous que votre réseau domestique est protégé par un mot de passe fort.

Par Duran
February 11, 2020
Malware
Français
February 11, 2020
Malware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.