Sofistikeret Emotet -malware -loader, der trives med usofistikerede adgangskoder

Emotet har udviklet sig. Og det er ikke godt. Ormen vinder opmærksomhed fra sikkerhedsvagter i denne måned, som en udnyttelse af Wi-Fi-netværk. Det hopper. Det breder sig. Dens udløsere er usikre adgangskoder på routere og Windows -pc'er.

Specifikt, ifølge sine opdagere, det er "en ny loader-type, der drager fordel af wlanAPI-grænsefladen til at opregne alle Wi-Fi-netværk i området, og derefter forsøger at sprede sig til disse netværk, inficerer alle enheder, som den kan få adgang til i processen. "

Paul Wagenseil, en seniorredaktør, der dækker sikkerhed kl Toms vejledning , var en af ​​flere forfattere, der fulgte denne "nyfundne variant af den frygtede Emotet Trojan."

Hvorfor beskrev Wagenseil det som frygtet? "Emotet er en malware-stamme, der startede livet i 2014 som en bank trojan, " han skrev, "men tilføjede senere evnerne til at stjæle personlige oplysninger, installere ransomware, danne botnet og downloade andre stykker malware. "

Et sikkerhedsfirma Binary Defense identificerede varianten. Ifølge Binary Defense, "Med denne nyopdagede loader-type brugt af Emotet, en ny trusselvektor introduceres til Emotets muligheder. Tidligere tænkt på kun at sprede sig gennem malspam og inficerede netværk, Emotet kan bruge denne loader-type til at sprede sig gennem trådløse netværk i nærheden, hvis netværkene bruger usikre adgangskoder. "

Mens Wagenseil beskrev det som frygtet, James Quinn, malware -analytiker for Binary Defense, gav endnu flere grunde til at være opmærksom på Emotets beføjelser:

"Emotet er en meget sofistikeret trojan, der typisk også fungerer som en loader til anden malware. En vigtig funktion i Emotet er dens evne til at levere tilpassede moduler eller plugins, der er velegnede til bestemte opgaver, herunder stjæle Outlook -kontakter, eller spredes over et LAN. "

Og Sergiu Gatlan ind BleepingComputer den 7. februar tænkte på endnu flere påmindelser. "Emotet Trojan rangerede først i en 'Top 10 mest udbredte trusler' udarbejdet af den interaktive malware -analyseplatform Any.Run i slutningen af ​​december, " han skrev, "med tredobbelt antal uploads til analyse i forhold til den næste malware -familie i deres top, agent Tesla info-stjæler. "

Gatlan rapporterede også, at Cybersecurity and Infrastructure Security Agency (CISA) havde udsendt en advarsel "om øget aktivitet i forbindelse med målrettede Emotet -angreb ... og rådet administratorer og brugere til at gennemgå Emotet Malware -advarslen for vejledning."

Binary Defense fandt ud af, at Wi-Fi-spredningsadfærden var gået ubemærket hen i næsten to år.

Hvordan kunne det være?

TechRadar 's Anthony Spadafora nævnte to grunde, på grund af (1) hvor sjældent binæret blev droppet. Han skrev, "Ifølge Binary Defense, 23. januar 2020 var første gang, virksomheden havde observeret, at filen blev leveret af Emotet på trods af, at den var inkluderet i malware siden 2018. "(2) Dens evne til at fortsætte uden at blive opdaget kunne have været, at" modulet gjorde ikke vise spredningsadfærd på de virtuelle maskiner og automatiserede sandkasser uden Wi-Fi-kort, som forskere bruger til at dissekere nye stammer af malware. "

Toms vejledning givet en detaljeret gennemgang af, hvordan Emotet fungerer.

Når Emotet er installeret på en pc, "worm.exe" kontrollerer, hvor mange Wi-Fi-netværk der er med rækkevidde. Trinet mislykkes på Windows XP, men ikke senere versioner af Windows. Emotet forsøger at knække adgangskoder til hvert Wi-Fi-netværk i nærheden, "trække dem fra en forhåndskompileret liste over sandsynlige adgangskoder efter hinanden, indtil en fungerer."

Lad derefter spredningen begynde:

"Når det er givet adgang til et netværk, Emotet sender netværksnavnet og adgangskoden for det nyligt krakede netværk op til kommandostyringsserveren, tilsyneladende tilføjer oplysningerne til en masterliste over hackede Wi-Fi-netværk.

"Derefter dropper malware sin værts-pc's eksisterende Wi-Fi-forbindelse og forbinder pc'en med det nyforbundne netværk, hvorefter Emotet scanner efter tilsluttede Windows -maskiner. Det forsøger derefter at brute-force Windows-brugernavne og brugeradgangskoder på hver nyligt inficeret maskine, tegning fra en anden forudkompileret liste over sandsynlige tekststrenge. "

Wagenseil sagde, at bortset fra svage Wi-Fi-adgangskoder, det vises også i en inficeret e -mail vedhæftet fil.

Quinns afsluttende kommentarer til hans Binary Defense -diskussion indeholdt råd til brug af stærke adgangskoder til at sikre trådløse netværk, så malware som Emotet ikke kan få uautoriseret adgang til netværket.

Quinn understregede også opdagelsesstrategier for denne trussel, der ville omfatte "aktiv overvågning af endepunkter for nye tjenester, der installeres og undersøgelse af mistænkelige tjenester eller processer, der kører fra midlertidige mapper og brugerprofilprogramdatamapper." Han sagde også, at netværksovervågning var en effektiv detektion, "da kommunikationen er ukrypteret, og der er genkendelige mønstre, der identificerer malware -beskedindholdet."

© 2020 Science X Network