Emotet è ora in grado di hackerare reti Wi-Fi

Emotet Spreads by Hacking Wi-Fi Networks

Molte persone non ci pensano molto, ma la corretta configurazione di una rete Wi-Fi è incredibilmente importante. Potrebbe aprire il gateway a tutti i tuoi dispositivi personali e la sua sicurezza deve essere trattata con il massimo rispetto per molte ragioni diverse. Recentemente, James Quinn, un analista di malware per Binary Defense, ne ha trovato un altro.

Lo ha scoperto mentre stava analizzando un nuovo campione del malware Emotet, su cui si è imbattuto a fine gennaio. Emotet è probabilmente la minaccia malware più diffusa negli ultimi anni. È in circolazione dal 2014 e, sebbene possa essere utilizzato come un trojan bancario autonomo, è stato spesso utilizzato come contagocce per altri ceppi di malware. Finora, è stato distribuito principalmente con l'aiuto di campagne su larga scala di malspam e i suoi operatori hanno utilizzato tecniche di ingegneria sociale intelligenti per infettare quante più persone possibile. Quando James Quinn esaminò più da vicino la nuova versione, tuttavia, vide che gli autori di Emotet avevano incluso un modulo precedentemente non segnalato per la diffusione su dispositivi e reti.

Emotet salta le reti Wi-Fi per massimizzare il numero delle vittime

L'operazione post-infezione di Emotet nella versione esaminata da Quinn dipende da un paio di file eseguibili inseriti in un archivio RAR autoestraente. Il primo, service.exe, è responsabile dell'estrazione del file binario Emotet e dell'esecuzione. Come potrebbe suggerire il nome, il secondo, worm.exe, ha il compito di posizionare service.exe sul maggior numero di computer possibile.

Quando decodificò worm.exe, James Quinn vide che il file stava comunicando pesantemente con wlanAPI.dll, una libreria che consente ai computer Windows di connettersi alle reti wireless. Utilizzando le chiamate API, il componente spargitore di Emotet raccoglie un elenco di tutte le reti Wi-Fi disponibili e crea un profilo dettagliato di ciascuna di esse. Dopo aver stabilito l'SSID di una rete, la potenza del segnale e il protocollo di sicurezza, il malware tenta di connettersi ad esso. Se la rete wireless non è protetta da una password, Emotet entra direttamente. Se la rete è bloccata, tenterà di forzare la sua strada usando un elenco hard-cod di password deboli e facili da indovinare.

Tutti gli attacchi riusciti a reti wireless vicine vengono segnalati al server Command and Control (C&C), dopodiché il worm continua con la routine di infezione. Vengono enumerate tutte le condivisioni non nascoste su una rete compromessa e, utilizzando un secondo elenco di password codificato, worm.exe tenta di comprometterle tutte. Se non funziona, il malware tenta di forzare l'account amministratore per la risorsa di rete.

Dopo aver indovinato con successo una password, Emotet rinomina service.exe in my.exe e la inserisce nell'unità C: \ del computer infetto. Un servizio appena creato garantisce l'esecuzione del file.

Il "nuovo" componente worm ha presumibilmente due anni

James Quinn è stato un po 'sorpreso di vedere che, in base al timestamp del file, il componente worm è stato creato nell'aprile 2018. Dopo alcune ricerche, si è reso conto che una copia di worm.exe è stata presentata per la prima volta a VirusTotal nel maggio 2018, il che ha dimostrato che non è davvero nuovo.

Apparentemente, Emotet ha avuto la possibilità di saltare tra le reti wireless per quasi due anni ormai, ma per qualche ragione, gli esperti di sicurezza l'hanno appena scoperto. Ciò potrebbe essere dovuto al fatto che gli operatori del malware non hanno finora utilizzato la funzionalità, ma potrebbe anche essere dovuto al fatto che i sandbox e i ricercatori delle macchine virtuali utilizzano per esaminare il malware raramente sono dotati di connettività wireless.

In ogni caso, nella mente di qualcuno non ci sono dubbi sul fatto che il componente dello spargitore sia potente e possa causare molti danni. Con ciò, la negligenza del tuo vicino potrebbe portare al furto dei tuoi dati personali, quindi assicurati che la tua rete domestica sia protetta da una password complessa.

February 11, 2020

Lascia un Commento