Uma nova onda de ataques do malware Emotet está a aproveitar-se da interface de rede WiFi (wlanAPI) para enumerar todas as redes Wi-Fi dentro do perímetro e espalhar a infeção através desse canal.
Este malware está em operação desde 2014, e foi projetado inicialmente para exfiltrar credenciais de acesso a portais ebanking, tornando-se nestes últimos anos como um veículo para distribuir malware in-the-wild.
Este malware, como tantos outros, é inicialmente disseminado através de engenharia social, nomeadamente campanhas de phishing, infetando não só ciber-utilizadores em massa assim como vítimas target via campanhas de spear-phishing.
Com um novo módulo embutido, o Emotet usa-o como WiFi Spreader para se espalhar através da rede WiFi.
Este novo módulo é descarregado pelo malware para o path “C:\ProgramData” do sistema operativo da vítima. O binário descarregado contém um ficheiro RAR que contém outros dois binários (service.exe e worm.exe).
O ficheiro worm.exe é o executável usado para espalhar o malware. Uma vez executado, ele copia o binário service.exe para uma variável para depois usá-lo durante a propagação.
Em seguida, é invocada a DLL wlanAPI.dll usada pelo Wi-Fi nativo para gerir os perfis e conexões de rede sem fio para espalhar a infeção para outras redes.
“The Worm enumerates all Wi-Fi devices currently enabled on the local computer, which it returns in a series of structures. These structures contain all the information relating to the Wi-Fi device, including the device’s GUID and description,” read the Binary Defense analysis.
O Emotet reúne todas as informações possíveis de todas as redes Wi-Fi disponíveis e presentes na lista de redes da vítima para que depois possa saltar para outras redes e atingir, assim, outros dispositivos.
Uma vez estabelecida a conexão com a rede Wi-Fi target, o malware enumera os utilizadores e inicia um processo de brute-force para tentar um acesso não autorizado aos dispositivos.
Quando um acesso é conseguido, o binário service.exe é o payload instalado pelo worm.exe na máquina. Uma vez instalado, ele comunica com o servidor C2 e executa o binário embebido no service.exe.
O Emotet era conhecido por se distribuir apenas através de mal-spam e redes infetadas.
Atualmente, e com este novo módulo, o Emotet surge como uma ameça cada vez mais perigosa e que se espalha agora através de redes sem fio próximas que usam passwords fracas.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.