Emotet est désormais capable de pirater les réseaux Wi-Fi

Emotet Spreads by Hacking Wi-Fi Networks

Beaucoup de gens n'y pensent pas beaucoup, mais la configuration correcte d'un réseau Wi-Fi est extrêmement importante. Il pourrait ouvrir la passerelle à tous vos appareils personnels et sa sécurité doit être traitée avec le plus grand respect pour de nombreuses raisons différentes. Récemment, James Quinn, analyste de logiciels malveillants pour Binary Defense, en a trouvé un autre.

Il l'a découvert en analysant un nouvel échantillon du malware Emotet, sur lequel il est tombé fin janvier. Emotet est sans doute la menace de malware la plus répandue ces dernières années. Il existe depuis 2014 et bien qu'il puisse être utilisé comme un cheval de Troie bancaire autonome, il a souvent été utilisé comme compte-gouttes pour d'autres souches de logiciels malveillants. Jusqu'à présent, il a été distribué principalement à l'aide de campagnes de malspam à grande échelle, et ses opérateurs ont utilisé des techniques ingénieuses d'ingénierie sociale pour infecter autant de personnes que possible. Lorsque James Quinn a examiné de plus près la nouvelle version, cependant, il a vu que les auteurs d'Emotet avaient inclus un module auparavant non signalé pour la diffusion sur les appareils et les réseaux.

Emotet saute sur les réseaux Wi-Fi pour maximiser le nombre de victimes

L'opération post-infection d'Emotet dans la version examinée par Quinn dépend de quelques fichiers exécutables placés dans une archive RAR à extraction automatique. Le premier, service.exe, est responsable de l'extraction du binaire Emotet et de son exécution. Comme son nom l'indique, le second, worm.exe, est chargé de placer service.exe sur autant d'ordinateurs que possible.

Lorsqu'il a procédé à une ingénierie inverse de worm.exe, James Quinn a constaté que le fichier communiquait fortement avec wlanAPI.dll - une bibliothèque qui permet aux ordinateurs Windows de se connecter aux réseaux sans fil. À l'aide d'appels API, le composant spreader d'Emotet collecte une liste de tous les réseaux Wi-Fi disponibles et fait un profil détaillé de chacun d'entre eux. Une fois qu'il a établi le SSID, la puissance du signal et le protocole de sécurité d'un réseau, le logiciel malveillant tente de s'y connecter. Si le réseau sans fil n'est pas protégé par un mot de passe, Emotet entre directement. Si le réseau est verrouillé, il tentera de forcer son chemin en utilisant une liste codée en dur de mots de passe faibles et faciles à deviner.

Toutes les attaques réussies contre les réseaux sans fil voisins sont signalées au serveur de commande et de contrôle (C&C), après quoi le ver poursuit la routine d'infection. Tous les partages non masqués sur un réseau compromis sont énumérés et, à l'aide d'une deuxième liste de mots de passe codée en dur, worm.exe essaie de les compromettre tous. Si cela ne fonctionne pas, le malware tente de forcer le compte administrateur pour la ressource réseau.

Après avoir réussi à deviner un mot de passe, Emotet renomme service.exe en my.exe et le place sur le lecteur C: \ de l'ordinateur compromis. Un service nouvellement créé garantit l'exécution du fichier.

Le "nouveau" composant du ver aurait deux ans

James Quinn a été un peu surpris de voir que, selon l'horodatage du fichier, le composant ver avait été créé en avril 2018. Après quelques recherches supplémentaires, il s'est rendu compte qu'une copie de worm.exe avait été soumise pour la première fois à VirusTotal en mai 2018, ce qui montrait que ce n'est pas vraiment nouveau.

Apparemment, Emotet a la capacité de basculer entre les réseaux sans fil depuis près de deux ans maintenant, mais pour une raison quelconque, les experts en sécurité viennent de le découvrir. Cela peut être dû au fait que les opérateurs du logiciel malveillant n'ont pas utilisé la fonctionnalité jusqu'à présent, mais cela peut également être dû au fait que les bacs à sable et les machines virtuelles que les chercheurs utilisent pour examiner les logiciels malveillants sont rarement fournis avec une connectivité sans fil.

Quoi qu'il en soit, personne ne doute que le composant épandeur est puissant et peut causer beaucoup de dégâts. Avec cela, la négligence de votre voisin pourrait entraîner le vol de vos données personnelles, alors assurez-vous que votre réseau domestique est protégé par un mot de passe fort.

February 11, 2020

Laisser une Réponse