Emotet kan nå hacke Wi-Fi-nettverk

Mange tenker ikke så mye på det, men riktig konfigurasjon av et Wi-Fi-nettverk er utrolig viktig. Det kan åpne porten til alle dine personlige enheter, og sikkerheten må behandles med største respekt av mange forskjellige grunner. Nylig fant James Quinn, en malware-analytiker for Binary Defense, enda en.

Han oppdaget det da han analyserte en ny prøve av Emotet-malware, som han snublet over i slutten av januar. Emotet er uten tvil den mest utbredte trusselen om skadelig programvare de siste årene. Det har eksistert siden 2014, og selv om det kan brukes som en frittstående bank-trojan, har den ofte blitt brukt som en dropper for andre skadelige stammer. Så langt har den blitt distribuert hovedsakelig ved hjelp av storskala malspam-kampanjer, og operatørene har brukt smarte sosialtekniske teknikker for å infisere så mange mennesker som mulig. Da James Quinn så nærmere på den nye versjonen, så han imidlertid at Emotets forfattere hadde tatt med en tidligere ikke rapportert modul for spredning på enheter og nettverk.

Emotet hopper Wi-Fi-nettverk for å maksimere antall ofre

Emotets operasjon etter infeksjon i den versjonen som Quinn undersøkte er avhengig av et par kjørbare filer som er plassert i et selvutpakkende RAR-arkiv. Den første, service.exe, er ansvarlig for å trekke ut Emotet binær og utføre den. Som navnet antyder, har den andre, worm.exe, i oppgave å plassere service.exe på så mange datamaskiner som mulig.

Da han omvendt konstruerte worm.exe, så James Quinn at filen kommuniserte tungt med wlanAPI.dll - et bibliotek som lar Windows-datamaskiner koble seg til trådløse nettverk. Ved hjelp av API-samtaler samler Emotets spredningskomponent en liste over alle tilgjengelige Wi-Fi-nettverk og lager en detaljert profil av hver og en av dem. Etter at det har opprettet et nettverks SSID, signalstyrke og sikkerhetsprotokoll, prøver malware å koble til det. Hvis det trådløse nettverket ikke er beskyttet med et passord, går Emotet rett inn. Hvis nettverket er låst, vil det forsøke å brute-force sin vei ved å bruke en hardkodet liste over svake og lett å gjette passord.

Alle vellykkede angrep på nærliggende trådløse nettverk rapporteres til Command and Control (C&C) serveren, hvoretter ormen fortsetter med infeksjonsrutinen. Alle ikke-skjulte aksjer i et kompromittert nettverk er oppregnet, og ved å bruke en andre hardkodet liste med passord prøver worm.exe å kompromittere dem alle. Hvis dette ikke fungerer, prøver malware å tvinge administratorkontoen til nettverksressursen.

Etter å ha gjettet et passord, gir Emotet nytt navn til service.exe til my.exe og plasserer det på den kompromitterte datamaskinens C: \ -stasjon. En nyopprettet tjeneste sikrer at filen kjøres.

Den "nye" ormekomponenten er angivelig to år gammel

James Quinn var litt overrasket over å se at i henhold til filens tidsstempel ble ormekomponenten opprettet i april 2018. Etter litt mer forskning, innså han at en kopi av worm.exe først ble sendt til VirusTotal i mai 2018, som viste at den er egentlig ikke ny.

Emotet har tilsynelatende hatt muligheten til å hoppe mellom trådløse nettverk i nærmere to år nå, men av en eller annen grunn har sikkerhetsekspertene bare oppdaget det. Dette kan være fordi malware-operatørene ikke har brukt funksjonaliteten så langt, men det kan også skyldes at sandkassene og virtuelle maskiner forskere bruker for å undersøke skadelig programvare sjelden har trådløs tilkobling.

Uansett er det liten tvil i noens mening om at sprederkomponenten er kraftig og kan forårsake mye skade. Med det kan din nabos uaktsomhet føre til tyveri av dine personlige data, så sørg for at hjemmenettverket ditt er beskyttet av et sterkt passord.