Emotet kan nu hacka Wi-Fi-nätverk

Emotet Spreads by Hacking Wi-Fi Networks

Många tycker inte mycket om det, men rätt konfigurering av ett Wi-Fi-nätverk är oerhört viktigt. Det kan öppna porten till alla dina personliga enheter, och dess säkerhet måste behandlas med största respekt av många olika skäl. Nyligen hittade James Quinn, en skadlig analytiker för Binary Defense, ännu en.

Han upptäckte det när han analyserade ett nytt prov av skadlig kod från Emotet, som han snubblat på i slutet av januari. Emotet är utan tvekan det mest utbredda hotet mot skadlig program under de senaste åren. Det har funnits sedan 2014, och även om det kan användas som en fristående bank-trojan, har den ofta använts som en dropper för andra skadliga stammar. Hittills har den distribuerats främst med hjälp av storskaliga malspam-kampanjer, och dess operatörer har använt smart socialteknik för att infektera så många människor som möjligt. När James Quinn tittade närmare på den nya versionen såg han emellertid att Emotets författare hade inkluderat en tidigare orapporterad modul för spridning över enheter och nätverk.

Emotet hoppar Wi-Fi-nätverk för att maximera antalet offer

Emotets operation efter infektion i den version som Quinn undersökt är beroende av ett par körbara filer placerade i ett självutdragande RAR-arkiv. Den första, service.exe, ansvarar för att extrahera binär Emotet och kör det. Som namnet antyder är den andra, worm.exe, i uppgift att placera service.exe på så många datorer som möjligt.

När han omstrukturerade worm.exe såg James Quinn att filen kommunicerade kraftigt med wlanAPI.dll - ett bibliotek som låter Windows-datorer ansluta till trådlösa nätverk. Med API-samtal samlar Emotets spridarkomponent en lista över alla tillgängliga Wi-Fi-nätverk och gör en detaljerad profil för var och en av dem. När det har upprättat ett nätverks SSID, signalstyrka och säkerhetsprotokoll försöker skadlig programvara ansluta till det. Om det trådlösa nätverket inte är skyddat med ett lösenord går Emotet rakt in. Om nätverket är låst försöker det brute-force sin väg att använda en hårkodad lista med svaga och lätt att gissa lösenord.

Alla framgångsrika attacker på angränsande trådlösa nätverk rapporteras till Command and Control (C&C) -servern, varefter masken fortsätter med infektionsrutinen. Alla icke-dolda aktier i ett komprometterat nätverk räknas upp, och med hjälp av en andra hårkodad lista med lösenord försöker worm.exe kompromissa med dem alla. Om detta inte fungerar, försöker skadlig programvara brute-tvinga administratörskontot för nätverksresursen.

Efter att ha lyckats gissa ett lösenord, byter namn på namn.exe till my.exe och placerar det på den komprometterade datorns C: \ -enhet. En nyskapad tjänst säkerställer att filen körs.

Den "nya" maskkomponenten är påstås två år gammal

James Quinn var lite förvånad över att se enligt filens tidsstämpel, maskkomponenten skapades i april 2018. Efter lite mer forskning insåg han att en kopia av worm.exe först lämnades in till VirusTotal i maj 2018, vilket visade att det är inte riktigt nytt.

Emotet har tydligen haft förmågan att hoppa mellan trådlösa nätverk i nära två år nu, men av någon anledning har säkerhetsexperterna bara upptäckt det. Det kan bero på att skadeprogrammets operatörer inte har använt funktionaliteten hittills, men det kan också bero på att sandlådorna och virtuella maskiner som forskarna använder för att undersöka skadlig programvara sällan kommer med trådlös anslutning.

Hur som helst, det råder liten tvekan i någons sinne att spridarkomponenten är kraftfull och kan orsaka mycket skada. Med det kan din grannars försummelse leda till stöld av dina personuppgifter, så se till att ditt hemnätverk är skyddat med ett starkt lösenord.

February 11, 2020

Lämna ett svar