Emotet si è evoluto. E questo non va bene. Il worm sta attirando l'attenzione degli osservatori della sicurezza questo mese, come un exploit delle reti Wi-Fi. Saltella. Si diffonde. I suoi trigger sono password non sicure su router e PC Windows.

Nello specifico, secondo i suoi scopritori, è "un nuovo tipo di caricatore che sfrutta l'interfaccia wlanAPI per enumerare tutte le reti Wi-Fi nell'area, e poi tenta di diffondersi in queste reti, infettando tutti i dispositivi a cui può accedere durante il processo."

Paul Wagenseil, un redattore senior che si occupa di sicurezza a Guida di Tom , è stato uno dei numerosi scrittori che hanno seguito questa "variante ritrovata del temuto Emotet Trojan".

Perché Wagenseil lo descrisse come temuto? "Emotet è un ceppo di malware tuttofare nato nel 2014 come Trojan bancario, " scrisse, "ma in seguito ha aggiunto la capacità di rubare informazioni personali, installare ransomware, formare botnet e scaricare altri pezzi di malware."

Una società di sicurezza Binary Defense ha identificato la variante. Secondo Binary Defense, "Con questo tipo di caricatore appena scoperto utilizzato da Emotet, un nuovo vettore di minaccia viene introdotto nelle capacità di Emotet. In precedenza pensato per diffondersi solo attraverso malspam e reti infette, Emotet può utilizzare questo tipo di caricatore per diffondersi attraverso le reti wireless vicine se le reti utilizzano password non sicure."

Mentre Wagenseil lo descriveva come temuto, James Quinn, analista di malware per Binary Defense, ha dato ancora più ragioni per essere a conoscenza dei poteri di Emotet:

"Emotet è un trojan altamente sofisticato che in genere funge anche da caricatore per altri malware. Una funzionalità chiave di Emotet è la sua capacità di fornire moduli o plug-in personalizzati adatti a compiti specifici, incluso il furto di contatti di Outlook, o diffondersi su una LAN."

E Sergiu Gatlan in BleepComputer il 7 febbraio ha pensato a ancora più promemoria. "Il trojan Emotet si è classificato al primo posto nella "Top 10 delle minacce più diffuse" stilata dalla piattaforma di analisi interattiva del malware Any.Run a fine dicembre, " scrisse, "con il triplo del numero di caricamenti per l'analisi rispetto alla prossima famiglia di malware nella loro parte superiore, il ladro di informazioni dell'Agente Tesla."

Gatlan ha anche riferito che la Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un avviso "sull'aumento dell'attività correlata agli attacchi Emotet mirati... consigliando agli amministratori e agli utenti di rivedere l'avviso Emotet Malware come guida".

Binary Defense ha scoperto che il comportamento di diffusione del Wi-Fi era passato inosservato per quasi due anni.

Come potrebbe essere?

TechRadar Anthony Spadafora ha citato due motivi, a causa di (1) quanto raramente il binario è stato abbandonato. Scrisse, "Secondo Binary Defense, Il 23 gennaio 2020 è stata la prima volta che l'azienda ha osservato il file consegnato da Emotet nonostante fosse incluso nel malware dal 2018." (2) La sua capacità di andare avanti senza essere scoperta potrebbe essere stata che "il modulo ha non mostrare comportamenti di diffusione sulle macchine virtuali e sandbox automatizzati senza schede Wi-Fi che i ricercatori utilizzano per sezionare nuovi ceppi di malware".

Guida di Tom ha fornito una panoramica dettagliata di come opera Emotet.

Una volta installato Emotet su un PC, "worm.exe" controlla quante reti Wi-Fi ci sono nel raggio d'azione. Il passaggio non riesce su Windows XP ma non nelle versioni successive di Windows. Emotet tenta di decifrare le password di accesso di ogni rete Wi-Fi vicina, "estraendoli da un elenco precompilato di probabili codici di accesso uno dopo l'altro finché uno non funziona".

Quindi inizia la diffusione:

"Una volta concesso l'accesso a una rete, Emotet invia il nome di rete e la password della rete appena craccata al suo server di comando e controllo, apparentemente aggiungendo le informazioni a un elenco principale di reti Wi-Fi compromesse.

"Quindi il malware elimina la connessione Wi-Fi esistente del PC host e collega il PC alla rete appena collegata, dopodiché Emotet esegue la scansione delle macchine Windows connesse. Quindi tenta di forzare i nomi utente di Windows e le password degli utenti su ogni macchina appena infettata, attingendo da un altro elenco precompilato di probabili stringhe di testo."

Wagenseil ha affermato che, a parte le password Wi-Fi deboli, si presenta anche in un allegato di posta elettronica infetto.

I commenti conclusivi di Quinn sulla sua discussione sulla Difesa binaria includevano consigli per l'utilizzo di password complesse per proteggere le reti wireless in modo che malware come Emotet non possano ottenere l'accesso non autorizzato alla rete.

Quinn ha anche sottolineato le strategie di rilevamento per questa minaccia che includerebbero "il monitoraggio attivo degli endpoint per l'installazione di nuovi servizi e l'analisi di servizi sospetti o qualsiasi processo in esecuzione da cartelle temporanee e cartelle di dati delle applicazioni del profilo utente". Ha anche affermato che il monitoraggio della rete è un rilevamento efficace, "poiché le comunicazioni non sono crittografate e sono presenti schemi riconoscibili che identificano il contenuto del messaggio malware".

© 2020 Scienza X Rete