Uma nova onda de ataques do malware Emotet está a aproveitar-se da interface de rede WiFi (wlanAPI) para enumerar todas as redes Wi-Fi dentro do perímetro e espalhar a infeção através desse canal.
Este malware está em operação desde 2014, e foi projetado inicialmente para exfiltrar credenciais de acesso a portais ebanking, tornando-se nestes últimos anos como um veículo para distribuir malware in-the-wild.
Este malware, como tantos outros, é inicialmente disseminado através de engenharia social, nomeadamente campanhas de phishing, infetando não só ciber-utilizadores em massa assim como vítimas target via campanhas de spear-phishing.
Com um novo módulo embutido, o Emotet usa-o como WiFi Spreader para se espalhar através da rede WiFi.
Este novo módulo é descarregado pelo malware para o path “C:\ProgramData” do sistema operativo da vítima. O binário descarregado contém um ficheiro RAR que contém outros dois binários (service.exe e worm.exe).
O ficheiro worm.exe é o executável usado para espalhar o malware. Uma vez executado, ele copia o binário service.exe para uma variável para depois usá-lo durante a propagação.
Em seguida, é invocada a DLL wlanAPI.dll usada pelo Wi-Fi nativo para gerir os perfis e conexões de rede sem fio para espalhar a infeção para outras redes.
“The Worm enumerates all Wi-Fi devices currently enabled on the local computer, which it returns in a series of structures. These structures contain all the information relating to the Wi-Fi device, including the device’s GUID and description,” read the Binary Defense analysis.
O Emotet reúne todas as informações possíveis de todas as redes Wi-Fi disponíveis e presentes na lista de redes da vítima para que depois possa saltar para outras redes e atingir, assim, outros dispositivos.
Uma vez estabelecida a conexão com a rede Wi-Fi target, o malware enumera os utilizadores e inicia um processo de brute-force para tentar um acesso não autorizado aos dispositivos.
Quando um acesso é conseguido, o binário service.exe é o payload instalado pelo worm.exe na máquina. Uma vez instalado, ele comunica com o servidor C2 e executa o binário embebido no service.exe.
O Emotet era conhecido por se distribuir apenas através de mal-spam e redes infetadas.
Atualmente, e com este novo módulo, o Emotet surge como uma ameça cada vez mais perigosa e que se espalha agora através de redes sem fio próximas que usam passwords fracas.