Emotet emplea una nueva táctica de infección mediante redes WiFi
- Endpoint
El nuevo desarrollo es particularmente peligroso para el malware Emotet, que desde su regreso en septiembre ha adoptado nuevas tácticas de evasión e ingeniería social para robar credenciales y propagar troyanos a las víctimas, como las Naciones Unidas.
Una muestra de malware Emotet recientemente descubierta tiene la capacidad de propagarse a redes Wi-Fi inseguras que se encuentran cerca de un dispositivo infectado. Si el malware logra propagarse a estas redes Wi-Fi cercanas, trata de infectar los dispositivos conectados a ellos, una táctica que puede extender la infección rápidamente, apuntan los investigadores.
|
Recomendados: Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro. Tendencias TI 2020, visionando el futuro. Webinar ondemand. |
“Con este nuevo tipo de ‘loader’ utilizado por Emotet se introduce un nuevo vector de amenazas a las capacidades de Emotet", afirma James Quinn, investigador de amenazas y analista de malware de Binary Defense. "Anteriormente se pensaba que solo se propagaba a través de redes infectadas y malspam, y ahora Emotet puede propagarse a través de redes inalámbricas cercanas si las redes usan contraseñas inseguras".
La muestra de Emotet primero infecta el sistema inicial con un archivo RAR autoextraíble, que contiene dos archivos binarios (worm.exe y service.exe) utilizados para la propagación vís Wi-Fi. Después de que el archivo RAR se descomprime, worm.exe se ejecuta automáticamente y comienza a generar perfiles de redes inalámbricas para intentar propagarse a otras redes Wi-Fi.
Una vez que se obtiene un identificador de Wi-Fi, el malware llama a WlanEnumInterfaces, una función que enumera todas las redes de Wi-Fi actualmente disponibles en el sistema de las víctimas. La función devuelve las redes inalámbricas enumeradas en una serie de estructuras que contienen toda la información relacionada con ellas (incluyendo su SSID, señal, cifrado y método de autenticación de red).
Con los datos para cada red, el malware se mueve a la conexión con "bucles de fuerza bruta". Los atacantes usan contraseñas obtenidas de "listas de contraseñas internas" para intentar establecer la conexión. Si la contraseña es correcta y la conexión es exitosa, el malware duerme durante 14 segundos antes de enviar un HTTP POST a su servidor de comando y control (C2) en el puerto 8080, y establece la conexión a la red Wi-Fi.
Luego, el binario comienza a enumerar y probar contraseñas de fuerza bruta para todos los usuarios (incluidas las cuentas de administrador) en la red recién infectada. Si alguna tiene éxito, worm.exe instala el otro binario, service.exe, en los dispositivos infectados. Para ganar persistencia en el sistema, el binario se instala bajo la apariencia de "Windows Defender System Service" (WinDefService).
