Emotet evoluiu. E isso não é bom. O worm está ganhando a atenção dos vigilantes de segurança este mês, como uma exploração de redes Wi-Fi. Ele salta. Ele se espalha. Seus gatilhos são senhas inseguras em roteadores e PCs com Windows.

Especificamente, de acordo com seus descobridores, é "um novo tipo de carregador que aproveita a interface wlanAPI para enumerar todas as redes Wi-Fi na área, e, em seguida, tenta se espalhar para essas redes, infectando todos os dispositivos que pode acessar no processo. "

Paul Wagenseil, um editor sênior que cobre segurança em Guia do Tom , foi um dos vários escritores que seguiram esta "variante recém-descoberta do temido Trojan Emotet".

Por que Wagenseil o descreveu como temido? "O Emotet é uma variedade de malware pau para toda obra que começou a vida em 2014 como um cavalo de Troia bancário, " ele escreveu, "mas, posteriormente, adicionou a capacidade de roubar informações pessoais, instalar ransomware, formar botnets e baixar outras peças de malware. "

Uma empresa de segurança Binary Defense identificou a variante. De acordo com a defesa binária, "Com este tipo de carregador recém-descoberto usado pela Emotet, um novo vetor de ameaça é apresentado aos recursos do Emotet. Anteriormente pensado para se espalhar apenas por meio de malspam e redes infectadas, Emotet pode usar este tipo de carregador para se espalhar através de redes sem fio próximas se as redes usarem senhas inseguras. "

Embora Wagenseil o tenha descrito como temido, James Quinn, analista de malware para Binary Defense, deu ainda mais razões para estar ciente dos poderes da Emotet:

"Emotet é um trojan altamente sofisticado que normalmente também serve como carregador para outro malware. Uma funcionalidade chave do Emotet é sua capacidade de fornecer módulos personalizados ou plug-ins adequados para tarefas específicas, incluindo o roubo de contatos do Outlook, ou espalhando-se por uma LAN. "

E Sergiu Gatlan em BleepingComputer em 7 de fevereiro pensei em ainda mais lembretes. "O Trojan Emotet ficou em primeiro lugar no ranking das '10 ameaças mais prevalentes', elaborado pela plataforma de análise de malware interativa Any.Run no final de dezembro, " ele escreveu, "com o triplo do número de uploads para análise em comparação com a próxima família de malware no topo, o ladrão de informações do Agente Tesla. "

Gatlan também relatou que a Agência de Segurança Cibernética e Infraestrutura (CISA) emitiu um aviso "sobre o aumento da atividade relacionada a ataques direcionados ao Emotet ... aconselhando administradores e usuários a revisar o alerta de malware Emotet para orientação".

A Binary Defense descobriu que o comportamento de propagação do Wi-Fi passou despercebido por quase dois anos.

Como poderia ser?

TechRadar de Anthony Spadafora mencionou duas razões, devido a (1) quão raramente o binário foi descartado. Ele escreveu, "De acordo com a Defesa Binária, 23 de janeiro de 2020 marcou a primeira vez que a empresa observou o arquivo sendo entregue pela Emotet, apesar do fato de ter sido incluído no malware desde 2018. "(2) Sua capacidade de continuar sem ser descoberto poderia ser que" o módulo sim não exibir comportamento de propagação nas máquinas virtuais e caixas de proteção automatizadas sem cartões Wi-Fi que os pesquisadores usam para dissecar novas cepas de malware. "

Guia do Tom forneceu uma descrição detalhada de como o Emotet opera.

Depois que o Emotet é instalado em um PC, "worm.exe" verifica quantas redes Wi-Fi estão ao alcance. A etapa falha no Windows XP, mas não nas versões posteriores do Windows. O Emotet tenta quebrar as senhas de acesso de cada rede Wi-Fi próxima, "puxando-os de uma lista pré-compilada de prováveis ​​senhas, uma após a outra, até que uma funcione."

Então deixe a propagação começar:

"Assim que for concedido acesso a uma rede, Emotet envia o nome da rede e a senha da rede recém-quebrada para seu servidor de comando e controle, aparentemente adicionando as informações a uma lista mestre de redes Wi-Fi hackeadas.

"Então, o malware se livra da conexão Wi-Fi existente de seu PC host e conecta o PC à rede recém-conectada, depois disso, o Emotet procura por máquinas Windows conectadas. Em seguida, ele tenta usar a força bruta dos nomes de usuário e senhas de usuário do Windows em cada máquina recém-infectada, desenho de outra lista pré-compilada de strings de texto prováveis. "

Wagenseil disse que, além de senhas Wi-Fi fracas, também aparece em anexos de e-mail infectados.

Os comentários finais de Quinn em sua discussão sobre defesa binária incluíram conselhos sobre o uso de senhas fortes para proteger redes sem fio de forma que malware como o Emotet não possa obter acesso não autorizado à rede.

Quinn também destacou estratégias de detecção para essa ameaça que incluiriam "monitoramento ativo de endpoints para novos serviços sendo instalados e investigação de serviços suspeitos ou quaisquer processos executados a partir de pastas temporárias e pastas de dados de aplicativos de perfil de usuário." Ele também disse que o monitoramento da rede foi uma detecção eficaz, "uma vez que as comunicações não são criptografadas e existem padrões reconhecíveis que identificam o conteúdo da mensagem de malware."

© 2020 Science X Network