Emotet kan nu wifi-netwerken hacken

Veel mensen denken er niet veel over na, maar de juiste configuratie van een wifi-netwerk is ongelooflijk belangrijk. Het kan de toegangspoort tot al uw persoonlijke apparaten openen en de beveiliging ervan moet met veel respect worden behandeld om veel verschillende redenen. Onlangs heeft James Quinn, een malware-analist voor Binary Defense, er nog een gevonden.

Hij ontdekte het toen hij een nieuw monster van de Emotet-malware analyseerde, waar hij eind januari tegenaan liep. Emotet is misschien wel de meest voorkomende malwarebedreiging van de afgelopen jaren. Het bestaat al sinds 2014, en hoewel het kan worden gebruikt als een zelfstandige trojan voor het bankieren, wordt het vaak gebruikt als druppelaar voor andere malware-soorten. Tot nu toe is het voornamelijk verspreid met behulp van grootschalige malspam-campagnes, en de exploitanten hebben slimme social engineering-technieken gebruikt om zoveel mogelijk mensen te infecteren. Toen James Quinn de nieuwe versie echter nader bekeek, zag hij dat de auteurs van Emotet een eerder niet-gerapporteerde module hadden opgenomen voor verspreiding over apparaten en netwerken.

Emotet maakt gebruik van wifi-netwerken om het aantal slachtoffers te maximaliseren

De post-infectie-operatie van Emotet in de onderzochte versie van Quinn is afhankelijk van een paar uitvoerbare bestanden die in een zelfuitpakkend RAR-archief zijn geplaatst. De eerste, service.exe, is verantwoordelijk voor het uitpakken van het binaire bestand van Emotet en het uitvoeren ervan. Zoals de naam al doet vermoeden, is de tweede, worm.exe, belast met het plaatsen van service.exe op zoveel mogelijk computers.

Toen hij worm.exe reverse-engineered, zag James Quinn dat het bestand sterk communiceerde met wlanAPI.dll - een bibliotheek waarmee Windows-computers verbinding kunnen maken met draadloze netwerken. Met behulp van API-oproepen verzamelt de spreidingscomponent van Emotet een lijst van alle beschikbare wifi-netwerken en maakt een gedetailleerd profiel van elk van hen. Nadat het de SSID, de signaalsterkte en het beveiligingsprotocol van een netwerk heeft vastgesteld, probeert de malware hiermee verbinding te maken. Als het draadloze netwerk niet door een wachtwoord wordt beschermd, gaat Emotet er meteen in. Als het netwerk is vergrendeld, probeert het zijn weg te vinden in een hardgecodeerde lijst met zwakke en gemakkelijk te raden wachtwoorden.

Alle succesvolle aanvallen op aangrenzende draadloze netwerken worden gerapporteerd aan de Command and Control (C&C) -server, waarna de worm doorgaat met de infectieroutine. Alle niet-verborgen shares op een gecompromitteerd netwerk worden opgesomd en worm.exe probeert met een tweede hardgecodeerde lijst met wachtwoorden een compromis te sluiten. Als dit niet werkt, probeert de malware het beheerdersaccount voor de netwerkbron bruut te forceren.

Na een wachtwoord te hebben geraden, hernoemt Emotet service.exe naar my.exe en plaatst het op het C: \ -station van de gecompromitteerde computer. Een nieuw gecreëerde service zorgt ervoor dat het bestand wordt uitgevoerd.

De "nieuwe" wormcomponent is naar verluidt twee jaar oud

James Quinn was een beetje verrast om te zien dat volgens het tijdstempel van het bestand, de wormcomponent werd gemaakt in april 2018. Na wat meer onderzoek, realiseerde hij zich dat een kopie van worm.exe voor het eerst werd ingediend bij VirusTotal in mei 2018, waaruit bleek dat het is niet echt nieuw.

Blijkbaar heeft Emotet nu bijna twee jaar de mogelijkheid om tussen draadloze netwerken te schakelen, maar om een of andere reden hebben de beveiligingsexperts het pas ontdekt. Dit kan zijn omdat de operators van de malware de functionaliteit tot nu toe niet hebben gebruikt, maar het kan ook te wijten zijn aan het feit dat de sandboxen en virtuele machines die onderzoekers gebruiken om malware te onderzoeken zelden worden geleverd met draadloze connectiviteit.

Hoe dan ook, er is weinig twijfel in het achterhoofd dat de spreidcomponent krachtig is en veel schade kan veroorzaken. Hiermee kan nalatigheid van uw buurman leiden tot diefstal van uw persoonlijke gegevens, dus zorg ervoor dat uw thuisnetwerk wordt beschermd door een sterk wachtwoord.