Emotet agora é capaz de invadir redes Wi-Fi

Muitas pessoas não pensam muito nisso, mas a configuração correta de uma rede Wi-Fi é incrivelmente importante. Ele pode abrir o gateway para todos os seus dispositivos pessoais e sua segurança deve ser tratada com o maior respeito por vários motivos diferentes. Recentemente, James Quinn, analista de malware da Binary Defense, encontrou mais um.

Ele o descobriu quando analisava uma nova amostra do malware Emotet, na qual se deparou no final de janeiro. Emotet é sem dúvida a ameaça de malware mais prevalente dos últimos anos. Ele existe desde 2014 e, embora possa ser usado como um trojan bancário independente, frequentemente é usado como conta-gotas para outras linhagens de malware. Até o momento, ele foi distribuído principalmente com a ajuda de campanhas de spam de grande escala, e seus operadores usaram técnicas inteligentes de engenharia social para infectar o maior número possível de pessoas. Porém, quando James Quinn analisou mais de perto a nova versão, viu que os autores de Emotet haviam incluído um módulo não relatado anteriormente para se espalhar por dispositivos e redes.

Emotet pula redes Wi-Fi para maximizar o número de vítimas

A operação pós-infecção do Emotet na versão examinada por Quinn depende de alguns arquivos executáveis colocados em um arquivo RAR de extração automática. O primeiro, service.exe, é responsável por extrair o binário Emotet e executá-lo. Como o próprio nome sugere, o segundo, worm.exe, é encarregado de colocar o service.exe no maior número possível de computadores.

Quando ele fez a engenharia reversa do worm.exe, James Quinn viu que o arquivo estava se comunicando fortemente com o wlanAPI.dll - uma biblioteca que permite que computadores com Windows se conectem a redes sem fio. Usando chamadas de API, o componente espalhador do Emotet coleta uma lista de todas as redes Wi-Fi disponíveis e faz um perfil detalhado de cada uma delas. Depois de estabelecer o SSID, a força do sinal e o protocolo de segurança de uma rede, o malware tenta se conectar a ele. Se a rede sem fio não estiver protegida por uma senha, o Emotet entrará direto. Se a rede estiver bloqueada, ela tentará fazer força bruta usando uma lista codificada de senhas fracas e fáceis de adivinhar.

Todos os ataques bem-sucedidos às redes sem fio vizinhas são relatados ao servidor de Comando e Controle (C&C), após o qual o worm continua com a rotina de infecção. Todos os compartilhamentos não ocultos em uma rede comprometida são enumerados e, usando uma segunda lista codificada de senhas, o worm.exe tenta comprometer todos eles. Se isso não funcionar, o malware tenta forçar com força a conta de administrador do recurso de rede.

Após adivinhar com êxito uma senha, o Emotet renomeia service.exe para my.exe e a coloca na unidade C: \ do computador comprometido. Um serviço recém-criado garante que o arquivo seja executado.

O "novo" componente de worm tem dois anos

James Quinn ficou um pouco surpreso ao ver que, de acordo com o registro de data e hora do arquivo, o componente worm foi criado em abril de 2018. Após mais algumas pesquisas, ele percebeu que uma cópia do worm.exe foi submetida pela primeira vez ao VirusTotal em maio de 2018, o que mostrou que não é realmente novo.

Aparentemente, o Emotet tem a capacidade de alternar entre redes sem fio há quase dois anos, mas, por alguma razão, os especialistas em segurança acabaram de descobrir isso. Isso pode ocorrer porque os operadores do malware não usaram a funcionalidade até agora, mas também pode ser devido ao fato de que os pesquisadores de caixas de areia e máquinas virtuais usam para examinar o malware raramente vêm com conectividade sem fio.

Seja qual for o caso, há poucas dúvidas na mente de qualquer pessoa de que o componente espalhador é poderoso e pode causar muitos danos. Com isso, a negligência do seu vizinho pode levar ao roubo de seus dados pessoais, portanto, verifique se sua rede doméstica está protegida por uma senha forte.