Emotet, il famigerato trojan dietro una serie di campagne spam e attacchi ransomware guidati da botnet, ha trovato un nuovo vettore di attacco: usare dispositivi già infetti per identificare nuove vittime che sono connesse alle reti Wi-Fi vicine.
Secondo i ricercatori di Binary Defense , l’esempio Emotet appena scoperto sfrutta un modulo “Wi-Fi spreader” per scansionare le reti Wi-Fi e quindi tenta di infettare i dispositivi ad essi collegati.
La società di sicurezza informatica ha affermato che lo spargitore Wi-Fi ha un timestamp del 16 aprile 2018, indicando che il comportamento di diffusione è stato “inosservato” per quasi due anni fino a quando non è stato rilevato per la prima volta il mese scorso.
Lo sviluppo segna un’escalation delle capacità di Emotet, poiché le reti in stretta vicinanza fisica con la vittima originale sono ora suscettibili all’infezione.
Come funziona il modulo spargitore Wi-Fi di Emotet?
La versione aggiornata del malware funziona sfruttando un host già compromesso per elencare tutte le reti Wi-Fi vicine. Per fare ciò, utilizza l’interfaccia wlanAPI per estrarre l’SSID, la potenza del segnale, il metodo di autenticazione (WPA, WPA2 o WEP) e la modalità di crittografia utilizzata per proteggere le password.
In questo modo, ottenendo le informazioni per ciascuna rete, il worm tenta di connettersi alle reti eseguendo un attacco a forza bruta utilizzando le password ottenute da uno dei due elenchi di password interne. Se la connessione non riesce, passa alla password successiva nell’elenco. Non è immediatamente chiaro come sia stato messo insieme questo elenco di password.
Ma se l’operazione ha esito positivo, il malware collega il sistema compromesso sulla rete appena acceduta e inizia a elencare tutte le condivisioni non nascoste. Esegue quindi un secondo round di attacco a forza bruta per indovinare i nomi utente e le password di tutti gli utenti connessi alla risorsa di rete.
Dopo aver avuto con successo utenti forzati e le loro password, il worm passa alla fase successiva installando payload dannosi – chiamati “service.exe” – sui sistemi remoti appena infetti. Per mascherarne il comportamento, il payload viene installato come un servizio di sistema di Windows Defender (WinDefService).
Oltre a comunicare con un server command-and-control (C2), il servizio funge da dropper ed esegue il binario Emotet sull’host infetto.
Il fatto che Emotet possa passare da una rete Wi-Fi all’altra fa sì che le aziende proteggano le proprie reti con password complesse per impedire accessi non autorizzati. Il malware può anche essere rilevato monitorando attivamente i processi in esecuzione da cartelle temporanee e cartelle di dati dell’applicazione del profilo utente.
Emotet: da Banking Trojan a Malware Loader
Emotet, che è stato identificato per la prima volta nel 2014, si è trasformato dalle sue origini originali come Trojan bancario a un “coltellino svizzero” che può servire come downloader, ladro di informazioni e spambot a seconda di come viene distribuito.
Nel corso degli anni, è stato anche un meccanismo di consegna efficace per i ransomware. La rete IT di Lake City è stata paralizzata lo scorso giugno dopo che un dipendente ha inavvertitamente aperto un’e-mail sospetta che ha scaricato l’Emotet Trojan, che a sua volta ha scaricato il trojan TrickBot e il ransomware Ryuk.
Sebbene le campagne guidate da Emotet siano in gran parte scomparse durante l’estate del 2019, è tornata a settembre tramite “e-mail con targeting geografico con esche e marchi in lingua locale, spesso di carattere finanziario, e utilizzando allegati di documenti dannosi o collegamenti a documenti simili, che , quando gli utenti abilitavano le macro, installavano Emotet. “
“Con questo tipo di caricatore appena scoperto usato da Emotet, viene introdotto un nuovo vettore di minaccia per le capacità di Emotet”, hanno concluso i ricercatori di Binary Defense. “Emotet può utilizzare questo tipo di caricatore per diffondersi attraverso le reti wireless vicine se le reti utilizzano password non sicure.”
About Author
