Emotet hackeia Redes Wi-Fi próximas para se espalhar para novas vítimas

Pesquisadores da Binary Defense descobriram que o Emotet hackeia Redes Wi-Fi próximas para se espalhar para novas vítimas. Conheça melhor essa nova particularidade desse malware.

Uma amostra do Trojan Emotet recentemente descoberta apresenta um módulo de worm Wi-Fi que permite que o malware se espalhe para novas vítimas conectadas a redes sem fio inseguras próximas, de acordo com pesquisadores da Binary Defense.

Emotet hackeia Redes Wi-Fi próximas para se espalhar para novas vítimas
Emotet hackeia Redes Wi-Fi próximas para se espalhar para novas vítimas

Emotet hackeia Redes Wi-Fi próximas para se espalhar para novas vítimas

Essa recém-descoberta linhagem do Emotet inicia o processo de disseminação usando chamadas wlanAPI.dll para descobrir redes sem fio em torno de um computador com Wi-Fi já infectado e tentando fazer força bruta, caso estejam protegidas por senha.

Depois de conectar com êxito o dispositivo comprometido a outra rede sem fio, o worm começará a encontrar outros dispositivos Windows com compartilhamentos não ocultos.

Em seguida, ele verifica todas as contas nesses dispositivos e tenta forçar com força a senha da conta de administrador e de todos os outros usuários que pode recuperar.

Depois de invadir com êxito uma conta, o worm lança uma carga maliciosa na forma do binário service.exe no computador da vítima e instala um novo serviço chamado “Windows Defender System Service” para obter persistência no sistema.

Um dos binários que o Emotet usa para se espalhar para infectar outros dispositivos por Wi-Fi é o worm.exe, com a amostra analisada pela Binary Defense com um timestamp de 16/04/2018.

A BinaryDefense explica que:

“O executável com esse registro de data e hora continha um endereço IP codificado de um servidor de Comando e Controle (C2) usado pelo Emotet. Isso sugere que esse comportamento de disseminação do Wi-Fi está passando despercebido por quase dois anos.”

“Isso pode ser em parte devido à falta de frequência com que o binário é descartado. Com base em nossos registros, 23/01/2020 foi a primeira vez que a Binary Defense observou esse arquivo sendo entregue pela Emotet, apesar de ter dados que remontam à chegada do Emotet pela primeira vez. no final de agosto de 2019.”

Esse módulo worm Emotet não foi descoberto nos últimos dois anos, apesar de os pesquisadores dissecarem novas cepas diariamente também pode ser explicado pelo módulo que não exibe comportamento de propagação em VMs/sandboxes automatizadas sem um cartão Wi-Fi.

O outro executável que o Trojan usa para espalhar o Wi-Fi é o service.exe, um binário que já mencionamos acima, que também possui uma peculiaridade própria: enquanto usa a porta 443 do Transport Layer Security (TLS) para comando e controle (C2) comunicações do servidor, ele realmente se conectará por HTTP não criptografado.

A Binary Defense conclui que:

“Anteriormente pensado em se espalhar apenas através de mal-spam e redes infectadas, a Emotet pode usar esse tipo de carregador para se espalhar por redes sem fio próximas se as redes usarem senhas inseguras.”

“Os analistas da Binary Defense recomendam o uso de senhas fortes para proteger redes sem fio, para que malwares como o Emotet não possam obter acesso não autorizado à rede.”

Os computadores infectados com o Emotet são usados ​​por seus operadores para se espalhar para outras vítimas por Wi-Fi, para enviar mensagens de spam maliciosas para outros alvos e para eliminar outras ameaças de malware, incluindo o Trojan, ladrão de informações do Trickbot, conhecido por também fornecer cargas úteis de ransomware.

O Trojan Emotet ficou em primeiro lugar entre as 10 principais ameaças predominantes, elaborado pela plataforma de análise de malware interativa Any.Run no final de dezembro, com o triplo do número de uploads para análise quando comparado à próxima família de malware em seu topo, o Agent Tesla ladrão de informações.

A Cybersecurity and Infrastructure Security Agency (CISA, ou em português, Agência de Segurança Cibernética e Infraestrutura) emitiu um aviso sobre o aumento da atividade relacionada a ataques direcionados ao Emotet há cerca de duas semanas, aconselhando administradores e usuários a revisar o alerta do Emotet Malware para obter orientação.

Se você quiser saber mais sobre as últimas campanhas ativas do Emotet, siga o grupo Cryptolaemus, um coletivo de pesquisadores de segurança que acompanha a atividade desse malware.

O que está sendo falado no blog

Post Views: 232

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.